악성코드를 포함했음에도 구글 공식 앱 장터에 정상 등록된 앱이 400여건에 달한다는 주장이 제기됐다.
미국 지디넷은 3일(현지시각) 구글의 공식 장터 '구글플레이'에 등록된 안드로이드 앱 400여건이 '드레스코드(Dresscode)'라는 트로이목마 악성코드(Trojan malware)를 품고 있다는 트렌드마이크로 연구원의 주장을 인용 보도했다.
[☞참조링크: Over 400 instances of Dresscode malware found on Google Play store, say researchers]
드레스코드는 지난 4월 처음 발견됐다. 이 악성코드는 기기를 감염시켜 사이버스파이 활동을 수행하거나 민감한 데이터를 내려받거나 네트워크상의 다른 기기를 끌어들여 봇넷을 구성하는 데 쓰일 수 있다. 사용자 기기에 드레스코드를 포함한 앱이 한 번 설치되면 '명령제어서버'와 통신하게 된다. 명령제어서버는 감염된 기기가 속한 네트워크에 침입하는 동작을 비롯한 명령을 내릴 수 있다. 이는 기업 네트워크 전체를 위험에 빠뜨릴 수도 있는 보안 취약점을 낳을 수 있다.
안드로이드 기기를 감염시켜 사용자 정보를 탈취하거나 봇넷에 동원할 수 있는 악성코드 '드레스코드'를 포함한 앱 수백개가 구글플레이 장터에 정상 등록돼 다수 사용자의 안전을 위협하고 있다는 경고가 보안업체 트렌드마이크로 연구원들의 조사를 통해 제기됐다.
트렌드마이크로 사이버보안 연구원들은 구글플레이 장터에서 내려받을 수 있는 앱 400개 이상이 드레스코드 악성코드를 포함한 개체라고 경고했다. 정상 앱으로 행세해 사용자가 내려받도록 유도하지만 해로운 동작을 수행한다는 점에서 '바이킹호드(Viking Horde)' 악성코드와도 유사하다고 지적했다. 드레스코드는 전체 앱의 작은 일부분을 구성하고 있어 포착하기가 어려우며, 이를 포함한 앱은 게임, 스킨, 테마, 폰 최적화 여러 분야 앱으로 가장하고 있다는 설명이다.
구글플레이 공식 다운로드 통계에 따르면 특히 조심해야 할 앱은 마인크래프트용 모드 관련 그랜드테프트오토(Grand Theft Auto related modification for Minecraft)다. 이 앱의 다운로드 건수는 10만~50만번에 달한다. 이 앱 하나가 사용자 기기 50만대에 설치됐을 수 있다는 얘기다. 연구원들은 그러나 이게 단지 구글플레이 장터에서 내려받은 사용자 규모의 추정이고, 다른 안드로이드 앱 장터를 통해 내려받을 수 있는 악성코드 개체가 적어도 3천개 이상일 것이라고 우려했다.
연구원들은 또 드레스코드 악성코드가 복잡한 피싱사기처럼 특정한 개인을 겨냥하진 않더라도 감염된 앱을 내려받은 기기 규모 자체가 상당하다는 점에서, 사이버범죄자들이 그 광범위한 대상을 목표로 삼아 데이터를 빼돌리고 이익을 얻으려 할 수 있다고 지적했다. 감염된 기기는 데이터 탈취 외에도 분산서비스거부(DDoS) 또는 스팸 이메일 공격에 동원되거나, 공격자의 수익 창출을 위한 가짜 트래픽 생성용 프록시IP주소 자원 등을 제공하는 봇넷으로 전락할 수 있다고 덧붙였다.
연구원들은 드레스코드 악성코드가 '브링유어오운디바이스' 흐름에 따라 개인 스마트폰 기기를 직장 네트워크에 연결해 쓰는 직원들의 행태를 통해 기업들을 위험에 빠뜨릴 수 있다고 봤다. 더불어 드레스코드가 홈네트워크에 환경에도 위협이 될 수 있다고 예고했다. 감염된 기기가 가정용 인터넷 공유기에 연결될 경우 공격자가 쉽게 그 암호를 깨고 침투해 가정내 모든 기기의 제어권을 얻도록 해 줄 수 있다는 이유에서다.
연구원들에 따르면 안드로이드 스마트폰 사용자들이 드레스코드 감염을 피할 수 있는 방법 하나는 스스로 내려받는 앱이 뭔지에 주의를 기울이는 것이다. 공식 안드로이드 앱 장터에서도 완전히 마음을 놓을 수는 없지만, 특히 앱의 출처가 공식 앱 장터가 아닌 곳이라면 더욱 조심해야 한다는 설명이다. 앱이 실제로 유해한지 아닌지를 판정하기 위해 검사를 수행할 수 있는 연구원들은 소수에 불과하다. 구글은 미국 지디넷이 해당 보도를 앞두고 보낸 코멘트 요청에 응하지 않았다.
임민철 기자 (imc@zdnet.co.kr)