[2기 강북 강정인] 안드로이드 악성코드 현황

1.   개요

 본 문서에서는 안드로이드 운영체제를 대상으로 하는 악성코드의 현황을 다룬다. 안드로이드 악성코드는 스마트폰의 보급과 함께 급증하여, 개인정보 유출, 오과금 문제 등으로 인해 이슈가 되고 있으며, 안드로이드 소프트웨어 개발자로써, 이러한 위협에 대해 미리 인지하고 있을 필요가 있다. 본문에서는 안드로이드 악성코드의 종류, 배포형태, 공격방식 등에 대해 다룬다. 해당 내용들은 보안 업체인 Juniper Networks, Lookout, F-Secure 의 2011년에서 2012년 사이에 공개된 Threat Report에 기반하여 구성되어있으며, 본문의 수치, 도표를 상기 문서에서 다수 인용해왔음을 미리 밝힌다.

2.   안드로이드 스마트폰의 보급 

 모바일 운영체제인 구글 안드로이드의 1.0 베타 버전이 2007년 공개된 이래, 안드로이드 스마트폰의 시장 점유율은 지속적으로 증가하고 있다. 미국 시장에서는 지난 2012년 2월 이미 스마트폰 사용자 비율이 50%를 넘어섰으며[1], 국내에서도 이미 5월 기준 50%를 넘어서고 있다[2].

그림 1 미국 스마트폰 사용자 비율, Nielsen [1]

그림 2 국내 스마트폰 사용자 비율, 한국경제 [2]

 이처럼 절반이상의 이동통신 가입자들이 이용하고 있는 스마트폰 중, 안드로이드의 비중은 8월 IDC의 발표 자료 기준, 68%이며, 17%의 점유율을 차지하고 있는 애플 iOS를 매우 큰 폭으로 뛰어넘고 있는 상태이다[3]. 

그림 3 스마트폰 OS 점유율, IDC [3]

3.   안드로이드 악성코드의 등장 

 안드로이드 스마트폰이 확산되어감에 따라, 사용자에게 피해를 입히는 소프트웨어인 악성코드가 안드로이드 운영체제에서도 발견되기 시작하였다. Juniper Networks의 2011 Mobile Threats Report에 따르면, 2011년 초 400여개의 악성코드가 발견된 것에 비해, 2011년 12월 기준 13,302개의 악성코드가 발견되었고[4], Lookout에 의하면 2012년 6월 기준 3만개의 악성코드가 발견되어[5], 그 수가 매우 큰 폭으로 증가하고 있음을 알 수 있다.

그림 4안드로이드 악성코드의 증가, Juniper[4]

그림 5 안드로이드 악성코드의 증가, Lookout[5]

 F-Secure에 의하면 현재 발견되고 있는 대부분의 악성코드는 Trojan, 즉 정상적인 어플리케이션으로 위장하여 배포되는 악성 어플리케이션이다.

그림 6 악성코드 종류별 점유율, F-Secure[6]

4.   악성코드 배포 과정 

 Trojan이 활성화된 이유로써, 다음 두 가지 이유를 들 수 있다. 우선, 안드로이드 어플리케이션의 경우 smali/baksmali[7]와 같은 assembler/disassembler 도구를 통해, Repackaging을 매우 쉽게 수행 할 수 있다. 또한, 상용 어플리케이션을 무료로 구할 수 있는 비공식 마켓이 활성화 되어있다. 악성코드 제작자는 이러한 조건을 이용하여, 상용의 정상 어플리케이션의 설치 패키지 파일을 구한 뒤, 악성행위를 하는 코드를 추가하여 비공식 마켓에 해당 어플리케이션을 올린다. 많은 안드로이드 사용자들이 상용 어플리케이션을 비공식 마켓에서 무료로 다운받는 과정에서 이러한 Trojan에 감염되게 된다. 그림 7은 주요 Trojan악성코드 중 하나인 Geinimi가 위에서 설명한 과정에 따라 배포되는 과정이다.

그림 7 Trojan악성코드 배포 과정, Lookout[5]  

5.   악성코드의 목적 

 안드로이드 악성코드 배포 목적은 대부분 금전적인 이득을 얻기 위함이다. Lookout에 의하면, 2012년 기준 발견된 악성코드의 78.5%가 모두 이를 위해 제작되었다고 한다. 다만, 기존 PC기반 악성코드가 주로 봇넷을 이루어 스팸메일, DDoS공격을 수행하여 수입을 얻는 것에 비해, 스마트폰 악성코드의 수입 모델은 주로 이동통신에 특화된 결제 시스템을 악용하는 것이다. 국내의 경우 수년전 이동통신 이용자들에게 큰 피해를 입혔던 MMS 정보이용료 스팸 공격을 수입 모델의 예로 들 수 있다[8].

 외국의 경우 Premium SMS 서비스를 악용한 무단 결제로 수익을 얻는 방식이 가장 많이 사용되고 있다. Premium SMS 서비스 구조는 그림8과 같다. 우선, 서비스를 제공하는 업체는 일종의 대리업체인 Aggregator를 통해 이동통신사로부터 유료결제를 위한 SMS번호를 부여 받는다. 이동통신 단말 사용자가 해당 SMS번호로 메시지를 보내면, 이동통신사, Aggregator를 거쳐 서비스 제공 업체로 요청이 전달되며, 서비스 제공 업체는 역시 이동통신사를 통해 해당 사용자에게 유료결제를 확인 받고 서비스를 제공한다.

그림 8 Premium SMS 서비스 구조, Lookout[5]

 

 악성코드는 유료서비스 요청 및 확인을 사용자가 알지 못하도록 수행하는 방식으로 이 Premium SMS 결제시스템을 공격한다. 사용자가 부주의하게 trojan을 다운받거나 하여 단말기가 감염된 후, 악성코드는 미리 정해진 공격자의 프리미엄SMS번호로 문자를 전송한다. 이후 이동통신사를 통한 유료결제 역시 자동으로 수행한다.

그림 9 악성코드의 Premium SMS 서비스 공격 방식, Lookout[5]

 최근에는 이러한 Premium SMS 서비스 공격 방식 외에, 유명 앱에 공격자의 광고를 무단 삽입하여 광고수입을 가로채는 공격, 악성코드를 통해 마켓의 특정 앱을 반복 다운로드 시킴으로써 해당 앱의 인기도를 높여 광고수입을 높이는 공격, 인터넷 뱅킹 앱을 변조하여 사용자의 금융거래를 갈취하는 공격 등 다양한 공격 모델이 발견되고 있다.

 2012년 중순 발견된 FinSpy는, 악성코드로 감염시킨 단말로부터 민감한 사용자 정보를 수집하여 상업적으로 판매한 사례 중 하나이다[9]. 이 악성코드는 사용자의 GPS위치, 통화기록, 사진, 문자 입력 내역 등 정보를 무단으로 수집하며, 악성코드를 제작한 기업은 수집한 정보를 정부의 정보기관에 판매한 것으로 알려져 있다.

 

6.   결론 

 본 문서에서는 안드로이드 악성코드의 배포 현황 및 그 공격 방식에 대해 소개하였다. 사용자 입장에서, 현재 발생되고 있는 악성코드를 막을 수 있는 100% 유효한 방안은 사실 존재하지 않는다. 특히, PC에 비해 안티바이러스 제품이 보급되지 않은 상태이며, 불법 앱 다운로드가 매우 활성화된 상태이기 때문에 그 위험성은 더욱 크다고 할 수 있다. 하지만, 대부분 악성코드가 앱 패키지 단위로 배포되고 있다는 점을 감안할 때, 가능하다면 정식 마켓이 아닌 곳에서는 앱을 다운받지 않고, 마켓에서도 잘 알려지지 않은 앱들은 사용하지 않는다는 원칙을 지킨다면 악성코드로 인한 피해를 미연에 방지할 수 있을 것이다. 

 

[1] Nielsen, “Smartphones Account for Half of all Mobile Phones, Dominate New Phone Purchases in the US”, 2012.3

[2] 한국경제, “스마트폰 이용자 2672만명, 절반 넘어”, 2012.5

[3] IDC, Android and iOS Surge to New Smartphone OS Record in Second Quarter, 2012.8

[4] Juniper networks, 2011 Mobile Threats Report, 2012.2

[5] Lookout, 2012 State of Mobile Security, 2012.8

[6] F-Secure, Mobile Threat Report Q2 2012, 2012.8

[7] smali, http://code.google.com/p/smali/

[8] 디지털타임스, “정보이용료 71억 챙긴 `MMS 피싱` 사기단 적발”, 2010.8, http://www.dt.co.kr/contents.html?article_no=2010081202019931742005

[9] TheRegister, “Google engineer finds British spyware on PCs and smartphones”, 2012.8, http://www.theregister.co.uk/2012/08/31/finspy_gamma_polcie_spying/