Self Rooting 악성코드 내 폰은 안전할까?

최종 수정일: 2019년 1월 23일


YOONam Group 이사회 의장 윤태식

(한국방위사업연구원 기술전문위원)

(국방사이버안보연구센터 기술위원)


2015년 작성



요즘 사회적 논란이 되고 있는 휴대폰 해킹에 관한 국민들의 불안감이 최고조에 달하고 있다. 내 휴대폰은 악성 코드로부터 안전할까? 호시탐탐 노리는 해커들로부터 사생활과 개인금육정보를 안전하게 지킬 수 있을까?


휴대폰 사용자들의 고민을 해결할 수 있는 신기술이 세계 최초로 개발됐다. <휴대폰 실시간 공유 보안 관리 시스템 (A real-time sharing security system for smart phone) 특허등록번호 : 제10-1728310호>이 Self Rooting 악성 코드로부터 보호받을 수 있는 유일한 정답이다.


메시지에 표기된 URL(링크)을 누르면 스마트폰이 자동으로 루팅(최고 관리자 권한 부여)되는 악성코드가 발견됐다. 보도에 따르면 정보기관 소속 “5163부대”의 소행이라고 한다. 야권과 시민단체에서는 민간인 사찰이라는 의혹 제기와 함께 감염여부 확인법을 촉구하는 목소리를 높이고 있다.


이번 악성코드 배포는 문자 메시지의 URL을 누르면 악성코드 앱이 깔리는 것으로 확인됐다. 앱을 실행하게 되면 사용자의 스마트폰이 자동으로 루팅(Self Rooting)되면서 기기내 모든 정보가 해커에게 전송되는 시스템이다.


루팅은 안드로이드 운영체제(OS) 기반인 리눅스 환경에서 모든 파일과 프로그램에 접근할 수 있는 권한을 획득하는 방식이다. 국내에서는 통신사 기본 탑재 앱을 삭제하고 스마트폰 디자인을 임의로 변경하기 위해 루팅을 하는 사용자가 많다.


그러나 충분한 지식 없이 관리자의 권한을 획득할 경우 심하게는 기기 고장으로 이어질 수 있으며, 악성코드에 감염되면 타인의 접근이 용이해져 자료 조회 및 조작이 쉬워진다.


이번 해킹은 파일 설치 후 이동하는 웹브라우저가 정상적인 사이트이기 때문에 일반 사용자가 쉽게 알아차릴 수 없었다. 악성 코드 배포에 사용된 홈페이지는 구글(www.google.com), 삼성전자(www.samsung.com) 등 현재 운영되고 있는 사이트다. 목표가 된 사람에게 갤럭시 스마트폰 업데이트 등의 문자를 보내 해당 URL을 누르도록 유도한 것이다.


악성코드가 설치된 스마트폰은 해커가 마음대로 통화내역과 사회관계망 서비스(SNS), 이메일을 들여다볼 수 있게 된다. 앞서 정보기관은 지난 2013년 5월 감시자의 정보를 볼 수 있는 ‘리모트콘트롤시스템(RCS)’을 이탈리아 해킹팀에게 구입한 것으로 알려졌다.


이를 위해 갤럭시S2, 갤럭시S3, 등 국내용 안드로이드 스마트폰이 감청되는지 집중적으로 물어봤다는 것이다. 또 안드로이드를 제외한 아이폰, 블랙베리 등의 운영체제를 원격으로 악성코드에 감염시킬 수 있는지에 대해서도 이메일로 물어봤다고 알려졌다.


아이폰의 경우 ‘취약점’ 공격 파일을 만들지 못한 것으로 알려졌다. 2014년 3월까지의 상황이기 때문에 최근 업데이트가 이뤄졌을 수 있으나 올해 교환한 이메일에서 아이폰 공격 파일은 찾아볼 수 없었다. 결국 안드로이드 스마트폰에서만 해킹이 가능하다는 분석이다.



보안사각지대에 빠진 ‘안드로이드 스마트폰’


안드로이드 OS는 심각한 해킹 위험에 노출돼 있다. 금전을 요구하는 랜섬웨어부터 스미싱, 파밍 등 각종 악성코드 감염 사례가 이어지고 있다. 문제는 국내 스마트폰 점유율 약 88%가 안드로이드 운영체제라는 점이다. 일각에서는 이러한 점에서 불특정 다수를 노린 민간인 사찰이라고 분석했다.


필자는 안드로이드 운영체제의 구조에 기인한다고 분명하게 말할 수 있다. 안드로이드 OS의 취약점에 대해 잠시 설명하자면, “안드로이드기기는 앱을 설치 시 특정 앱의 정보 접근 권한을 요구한다. 사용자들은 앱 설치를 위해 승인하게 되고 해커들은 이때 정보에 접근해 악성코드를 삽입하거나 해당 정보를 탈취한다. 또 안드로이드용 앱이 서버에 정보를 전송할 때 암호화 하지 않은 경우가 많아 해킹 위험이 높다.” 실제로 안드로이드 OS를 겨냥한 악성 코드는 2013년 약 24만종이 등장했으며 2014년 1~3분기까지 총 39만종으로 증가했다. 올해도 변종 악성코드 등이 늘어날 것으로 전망되고 있다.



대응책 부재, 예방과 탐지 주력해야


보안업계는 이번 악성코드 배포 사건을 놓고 이렇다 할 반응을 보이지 못하고 있다. 안랩 측은 “URL 클릭으로 스마트폰이 루팅되는 경우는 처음” 이라고 했고, 다른 보안기업들 사정도 마찬가지다.


보안 분야를 관할하는 한국인터넷진흥원(KISA)은 해당 사건에 대한 감염 여부 확인법이나 대응 방안이 마련된 것은 아니지만 관리를 통해 예방할 수 있다고 조언하고 있다. 먼저 KISA는 루팅을 피하고 ‘알 수 없는 출처 앱 설치’ 기능을 해제하는 것이 좋다고 설명했다. 정식 앱마켓인 구글플레이를 통하지 않는 앱도 설치를 금해야 한다는 주장이다. 이미 악성코드를 심어놓거나 정보 접근 시 악성코드가 동반되는 시스템을 구축하는 경우가 많다.


안드로이드 버전도 항상 최신화를 유지해야 한다고 덧붙였다. 스마트폰 제조사들은 일정 주기마다 운영체제의 취약점, 오류 등을 개선해 수정버전을 배포하기 때문이다. 이 밖에도 보호되지 않은 와이파이의 사용을 피하고 가급적 메시지에 링크된 URL을 열지 말아야 한다고 전했다.


악성코드 감염 여부를 확인하기 위해서는 모바일 백신이나 스마트폰 점검 도구를 최신 버전으로 업데이트해 탐지율을 높이는 것이 중요하다. 알약, V3, 카스퍼스키랩 등과 통신사 기본 탑재 백신이 여기에 속한다.


피해 시 대응 방법으로는 모바일 백신으로 악성앱을 삭제하는 것이 가장 빠르다. 악성앱 삭제가 어려울 경우 스마트폰 전원을 끄고 유심칩을 안전한 곳에 분리해 챙겨간 후 가까운 서비스센터를 방문해 초기화를 진행하는 것이 좋다.


필자는 “정상적인 업데이트나 파일 설치의 경우 문자 메시지나 카카오톡 등의 메신저를 통해 알리지 않으므로 출처가 의심되는 문자의 경우 가급적 확인을 피하고 해당 사이트를 포털 사이트에 검색한 후 접속하는 것이 안전하다”는 것을 조언하고 싶다.


(인트라넷 · Intranet)

인트라넷은 군(軍)이나 기업 등이 내부 직원들만 접속해 쓸 수 있도록 만든 자체 인터넷망(網) 이다. 외부 인터넷망과 연결된 통신선(線)을 없애 해커 입장에선 출입문에 도달할 수 없어 해킹으로 문을 따는 행위 자체가 성립되지 않는다. 하지만 최근 통신선이 아닌 소리, 열(熱), 빛 등을 이용해 내부 정보를 빼내는 첨단 기술이 속속 등장하고 있다.

보안이 최운선인 군(軍)과 원전 등의 전산망은 외부의 인터넷망(網)과 아예 통신선(線)을 분리한 인트라넷을 사용하고 있다. 해커가 들어올 출입문을 없앴으니 안전하다는 것이다. 하지만 최근 통신선이 연결되지 않아도 소리, 열(熱), 빛 등으로 데이터를 주고받는 최신 기술이 등장했다. 전문가들은 기술적으론 인트라넷에 대한 사이버 테러가 가능해졌다고 보고 있다.


고려대 사이버국방학과 윤지원 교수팀은 2015년 7월 17일 인터넷에 접속하지 않은 두 대의 PC에서 자료를 전송하는 기술을 시연한 바 있다. 컴퓨터의 내부 정보를 소리로 바꿔 스피커로 내보내고, 다른 컴퓨터의 스피커에서 음성 신호를 인식해 다시 데이터로 바꾸는 기술이다. 윤 교수는 “기술적으론 망을 분리해도 해커가 침입해 시스템을 장학하는 공격이 불가능한 일은 아니다”고 말한 바 있다.


실제로 북한은 몇 년 전부터 ‘광자기 도파기’라는 인트라넷 해킹 기술을 연구하고 있다. 광자기 도파기는 광(光)케이블의 배선 근처에 갖다놓으면, 케이블 안에 흐르는 데이터를 미세한 전파 신호로 바꿔 인트라넷에 접속한다. 탈북자인 김흥광 NK지식인연대 대표는 “올해 말까지 광자기 도파기 연구과제를 성공한다는 게 북한의 목표”라며 “쉽지 않은 기술이라 연내 개발은 실패할 수도 있지만, 북한이 인트라넷을 표적으로 한다는 것 분명한 사실”이라고 말한 바 있다. 북한은 전 세계적으로 인트라넷 공격용 바이러스로 악명 높은 스턱스넷(Stuxnet) 기술도 확보한 것으로 알려졌다.


(취약점)

상처받기 쉽다는 뜻의 영어 "vulnerability"에서 온 용어로 컴퓨터 · 스마트폰의 프로그램 · 앱을 개발할 때 허가받지 않은 접근을 모두 차단하도록 만드는 게 이상적이지만 현실적으로 불가능하다. 이처럼 개발자도 모르게 방치된 영역인 '취약점'을 통해 해킹이 이루어진다. (2015년 7월 10일 북한 추정 해커가 '취약점'을 사용한 사이버 공격으로 이탈리아 '해킹팀' 자료유출)

감시 기술도 쇼핑할 수 있는 시대다. 그리고 이 업계 역시 굴지의 기업들이 치열한 경쟁을 벌이고 있는 디지털 신자유주의의 한복판이다. 이름값 못하고 영업정보를 해킹당한 이탈리아 해킹팀(Hacking Team)이 아니더라도 북한이 감시 기술을 쇼핑할 곳은 많았다.


그렇다면 감시 기술을 막을 수 있는 암호 기술도 쉽게 쇼핑할 수 있을까? 이를테면 우리 정부나 시민단체에서 기금을 조성해서 북한에 맞설 수 있는 다양한 암호 기술을 사들여 전 국민에게 배포하는 일은 가능할까? 뭐든 다 파는 세계 시장에서 창을 살 수 있다면 당연히 방패도 살 수 있을 것 같지만, 암호 기술은 바세나르 협약(Wassenaar Arrangement)에 의해 판매와 유통을 엄격히 제한받고 있다. 대공산권수출조정위원회(COCOM)의 후신으로 1996년도에 결성된 바세나르 협약의 원래 목적은 재래식 무기를 비롯해 전략물자와 기술이 적성국가나 테러지원국에 수출되는 것을 막고자 하는 것이다. 그런데 적성국가와 테리지원국의 기준은 어디까지나 미국을 중심으로 정의된다. 미국이 못마땅해 하는 국가에는 감시 기술을 무력화할 수 있는 암호 기술이 수출될 수 없는 체제인 것이다.


해커들은 자유로운 소프트웨어의 형태로 강력한 암호 기술 툴들을 퍼뜨리기 시작했다. 한국사회에선 해커라는 말에 부정적인 의미가 강하지만, 본래 이 단어는 컴퓨터 기술에 기초해 새로운 세계를 만드는 모든 활동가를 의미한다. 이들 가운데 정부와 기업의 감시 기술에 맞서 싸우는 급진적 사이버 아나키스트들을 사이퍼펑크(Cypher Punk)라고 부른다. 미국 정부는 사이퍼펑크들이 개바한 암호화 기술이 널리 활용될 수 없도록 지속적으로 방해하고 있다. 암호 기술은 군사용으로 제한됐고 수출도 금지됐다. 이제 전 세계 해커들의 항전을 “제2차 암호전쟁”으로 부르기 시작했다.


이탈리아 해킹팀이 해킹되고 정보기관의 스마트폰 감시사건으로 불길이 옮겨 붙는 과정 역시 암호 전쟁의 연속선에 있다. 그러나 전쟁의 패러다임과 양상은 1차 잠호 전쟁 때와 달라졌다. 1990년대의 감시 기술이 표적 대상을 겨냥한 전술적 접근에 치중했다면, 오늘날엔 전략적인 접근으로 패러다임이 변했기 때문이다. 어떤 지역 전체의 모든 정보를 상시로 포획하고 데이터베이스화한 뒤, 이를 분석 시스템으로 분류해서 언제라도 전술적 접근으로 전환할 수 있는 시스템을 구축해야 한다.


비약적으로 발전하고 있는 메몰 기술과 데이터 전송 기술 덕분에 가능해진 일이다. 정보기관도 이러한 변화를 어떤 수준으로든 수용하고 있으리라 예산된다. 지난 10년간 우리나라에선 패킷 감청설비의 숫자가 무려 9배나 증가했다. 이 설비가 어디에서 어떻게 쓰이는지는 제대로 밝혀진 적이 없다. 큰 그림을 그릴 수 있어야 이 암호 전쟁에 맞설 수 있다.


북한 추정 해커가 이번에 사용한 ‘취약점’은 네티즌이 인터넷 사이트에 접속했을 때 비디오나 오디오 효과를 즐길 수 있게 하는 프로그램에 있는 구멍이었다. 이 프로그램은 거의 모든 PC에 깔려 있다. 북한 추정 해커는 이번에 알려진 이 취약점을 공격에 활용한 것이다. 이를 이용할 경우 수상한 이메일이나 문자메시지를 클릭하지 않고 단순히 사이트에 접속하는 것만으로 해커에게 이용자의 PC가 장악 당하게 된다.


필자와 보안 전문가들은 “북한 추정 해커가 해킹팀의 유출 자료에서 또 다른 ‘취약점’ 정보를 찾아내, 이미 국내 다른 사이트를 몰래 장악하고 있을 가능성도 배제할 수 없다”는 판단이다. 아울러 “북한 해커들이 이번 외부에 공개된 ‘해킹팀’의 정보를 습득해 예전보다 훨씬 강해질 것”으로 보고 있다. 북한은 ‘취약점’뿐만 아니라, 미국 정보기관들도 인정하는 이탈리아 해킹팀의 ‘원천 코드’도 일부 획득했다. 원천 코드는 해킹 프로그램을 만들 때 필요한 원천 기술과 같은 것이다. 이탈리아 해킹팀에서 유출된 자료에는 원천 코드가 다수 포함돼 있다.


이탈리아 해킹팀이나 미국의 이뮤니티와 같은 최고 수준의 해킹 업체는 북한과 거래하지 않는다. 이 때문에 북한은 지금까지 이들보다 수준이 떨어지는 해킹 업체들과 거래해온 것으로 알려졌다. 이제 400기가바이트에 달하는 해킹팀의 유출 정보를 전 세계 해커들이 공짜로 습득하고 있으며, 북한도 그 중 하나로 보인다.


북한이 ‘골든 키’를 확보한 이상 앞으로 2~3년간 막기가 굉장히 어려워졌다고 볼 수 있다. 이와 함께 앞으론 ‘북한 추정 해커’를 확인하는 것도 어려워질 것이다. 그동안 ‘북한 추정 해커’의 소행으로 발표한 주요 근거 중 하나는 ‘10년 넘게 사용되는 전형적이 북한 해커의 원천 코드’였다. 북한 발 악성코드는 그동안 거의 같은 패턴으로 만들어졌기 때문이다.


북한 해커 입장에선 최고의 비법서가 공개됐으니 당연히 배워서 응용하게 될 것이며, 북한으로선 일부러 알리고 싶은 과시용 해킹에선 예전의 전형적인 코드를 그대로 쓰고, 진짜 숨기고 싶은 사이버 테러에선 다른 코드를 사용할 수 있을 것으로 보인다.

조회 120회댓글 0개

최근 게시물

전체 보기

액티브엑스

대통령까지 나서서 없애라고 해도 할 수 없었던 일화의 ActiveX YOONam Group 이사회 의장 윤태식 (한국방위사업연구원 기술전문위원) (국방사이버안보연구센터 기술위원) ㈜윤엠 연구팀은 액티브엑스의 현실을 바로잡기 위한 혁명에 도전하여 마침내 세계 유일의 “양방향 비고정값 TSID 암호체계”를 완성함으로써 장애인과 노인 등 IT 소외계층들도 액티브