카카오톡의 보안플러인을 위장한 악성 애플리케이션(앱) 유포는 상당한 실력을 가진 해커의 소행인 것으로 보인다. 기존에 소액결제사기 등을 노린 스미싱, 악성앱 설치를 통한 개인정보 유출 등과도 비교되는 고난이도 수법이 쓰였기 때문이다.
1일 국내 보안업계에 따르면 이 악성앱은 리눅스 기반 파일을 사용하고, 추적을 피하기 위해 연관성이 없어 보이는 앱을 설치한 사용자들에게 30분 이후에 보안 플러그인을 업데이트하라는 내용의 팝업창을 띄우는 등의 수법을 사용했다. 총 2단계의 공격수법이 사용된 것이다.
잉카인터넷 대응팀에 따르면 먼저 공격자는 기존에 전체 이용자가 약 3만명~15만명 정도되는 다양한 앱의 업데이트를 악용했다. 실제로 악성앱은 인기앱을 위장해 구글 플레이 스토어에서 버젓이 배포되고 있는 상황이다. 1단계로 해당 앱을 설치하거나 업데이트하면 약 30분 뒤에 카카오톡의 보안플러그인을 업데이트하라는 팝업창이 뜬다. 이를 실행하면 알려진 것처럼 안드로이드 스마트폰 사용자의 주소록에서 가나다순으로 'all msgs'라는 문자메시지를 30분 간격으로 전송한다.
가장 심각한 문제는 기존에 정상적으로 사용되는 앱들이 무단으로 변조돼 대량으로 전파됐다는 점이다. 현재 구글 플레이 스토어에 등록된 4개의 악성앱 중 3개가 실제 사용된 것으로 확인됐다.
이와 관련 잉카인터넷 대응팀은 구글 플레이스 스토어에 개발자가 직접 악성앱을 등록한 것이 아니라면 개발자가 사용하는 PC나 서버가 해킹돼 외부 공격자를 통해 강제 업데이트됐을 가능성도 배제하기 어렵다고 밝혔다.
더구나 카카오톡 보안플러그인을 위장한 악성앱을 실행하면 'KaokaoTalk의 보안 플러그인'이라는 제목과 함께 '이 플러그인은 안전하므로 삭제하지 마세요'라는 문구를 담는 치밀함까지 보였다.
NSHC 보안분석팀인 레드어럴트의 봉용균 팀장은 카카오톡 보안플러그인을 위장한 악성실행파일(APK)의 내부 소스코드가 미국 국립표준기술연구소(NIST)가 선정한 리진델(Rijindael) 암호화 알고리즘을 사용해 핵심 코드에 대한 분석을 어렵게 했다고 밝혔다. 복호화하기 전까지는 내부 코드에 대한 정확한 분석이 어렵다는 설명이다.
그는 일반적으로 이 정도까지 분석이 어렵게 만든 악성파일은 드물다며 실제로도 분석에 상당히 애를 먹었다고 밝혔다.
이 악성실행파일 내부에는 'libEglsv1.so'이라는 ELF 기반 리눅스용 악성파일이 포함돼 있다. 이는 악성코드 분석을 어렵게 하고, 디컴파일 등이 어렵도록 한다. JNI를 사용해 주요 핵심기능을 보호하고 있기때문이다. JNI는 프로그램 제작에 사용되는 C언어와 자바 사이를 중개해 주는 역할을 하는 API로 정해진 동작환경에서만 프로그램이 실행될 수 있도록 했다. 이에 따라 보안분석가들이 이 악성파일의 내용을 분석하기 어렵다는 것이다.
관련기사
- 카톡 위장 악성앱, 문자 폭탄 무차별 전송2013.07.01
- [속보]카카오톡 보안플러그인 위장 앱 유포2013.07.01
- 지능적 수법...일베 통해 청와대 해킹돼2013.07.01
- 정부 "해킹 총 16개 기관...유출정보 파악중"2013.07.01
이에 대해 레드어럴트측은 지난 2011년 유럽 스마트폰 사용자들에게 과금형 악성코드로 수백만명의 사용자들에게 데이터 및 과금 비용 손실을 초래했던 '러프러드(RuFraud)'와 '드로이드드림라이트(DoridDreamLight)' 등과 비교해도 훨씬 공격적이고 파괴적인 악성코드라고 분석했다.
공격자의 정확한 의도를 알기는 쉽지 않다. 다만 상당히 지능범의 소행이고, 특별히 금전탈취 등을 노린 것이 아니라는 점에서 국가 혹은 대규모 조직을 통한 정치적인 목적의 전문적인 해킹이었을 가능성이 높은 것으로 추정된다.
