스마트폰을 `좀비폰`으로 만들어 특정 사이트와 서버를 무력화하는 분산서비스거부(DDos) 공격이 가능한 것이 국내에서 처음 입증됐다. 데스크톱PC · 노트북PC에 이어 좀비폰이 국가 정보통신 인프라를 뒤흔드는 사이버 공격의 도구로 활용될 수 있다는 사실에 보안업계가 긴장했다.
보안전문회사 쉬프트웍스(대표 홍민표)는 12일 스마트폰 석 대를 좀비폰으로 만들어 대량의 접속 시도 신호를 자사 서버에 보내 홈페이지를 무력화하는 상황을 시연했다. 홈페이지는 좀비폰 공격이 수차례 이어지자 5분도 안 돼 맥없이 무력화됐다. 스마트폰이 좀비폰으로 변질돼 DDoS 공격에 동원될 가능성이 입증된 것은 이번이 처음이다.
스마트폰은 PC와 달리 24시간 켜져 있어 DDoS 공격에 최상의 도구다. 7 · 7 DDoS 대란의 경우 악성코드에 감염된 사용자들이 집으로 돌아가 PC를 켠 오후 6시 이후 공격이 개시됐지만 스마트폰은 24시간 365일 언제든지 DDoS 공격이 가능하다. 스마트폰 기능이 PC를 닮아갈수록 `좀비폰`으로 변질될 가능성도 커진다.
스마트폰을 좀비폰으로 만드는 과정은 어렵지 않았다. 해커가 사용자 흥미를 유발하는 게임이나 벨소리 등의 애플리케이션에 악성코드를 심은 이후 안드로이드 마켓에 등록하고 이를 내려받는 즉시 좀비폰이 된다. 해커는 이 과정에서 사용자 전화번호를 수집해 모아둔다. 해커는 이어 수집한 전화번호로 DDoS 공격을 지시하는 특정 문자열(예:대리운전 신청하세요 1588-XXXX shiftworks.co.kr|^^__^^__^^" )의 메시지를 보낸다. 이 메시지를 받은 스마트폰은 일제히 타깃이 된 서버를 공격, 홈페이지를 무력화시켰다.
스마트폰 사용자들이 애플리케이션을 선택할 때 간단한 기능 정보만 보고 내려받는 허점을 이용해 해커들이 악성코드를 숨겨놓은 애플리케이션을 등록, DDoS 공격에 활용할 수 있음이 입증된 것이다.
홍민표 사장은 “많은 수의 스마트폰을 실제로 동원할 수가 없어 시연을 위해 몇 대의 스마트폰을 이용했지만 스마트폰 500대 정도면 웬만한 중견 기업의 서버를 다운시킬 수 있다”고 말했다. 그는 “좀비 스마트폰 10만대가량이면 전 세계 어느 사이트든 공격이 가능하다”고 말했다. 홍 사장은 “검증 체계를 강화해 악성 애플리케이션을 철저히 걸러내고 사용자들도 의심스러운 애플리케이션 다운로드를 삼가해야 한다”며 “스마트폰 백신을 반드시 적용해 취약성을 보완해야한다”고 지적했다.
장윤정기자 linda@etnews.co.kr