닫기

글로벌이코노믹

메시지 상대가 전혀 딴사람?…iOS와 안드로이드에 존재하는 악성 앱 '경고'

공유
0

메시지 상대가 전혀 딴사람?…iOS와 안드로이드에 존재하는 악성 앱 '경고'

스마트폰에 연락처 저장된 지인으로 위장해 메시지 송수신

악성 앱을 설치하면 대상자의 스마트폰에 연락처가 저장된 지인으로 위장해 메시지를 송수신 할 수 있는 것으로 나타났다. 자료=글로벌이코노믹이미지 확대보기
악성 앱을 설치하면 대상자의 스마트폰에 연락처가 저장된 지인으로 위장해 메시지를 송수신 할 수 있는 것으로 나타났다. 자료=글로벌이코노믹
[글로벌이코노믹 김길수 기자] "휴대전화에서 항상 메시지를 주고받던 상대가 전혀 딴사람"이라는 상황은 완전한 공포로 밖에 설명할 수 없다. 그런데 스마트폰 앱에 의해서 이러한 공격이 손쉽게 이루어지고 있으며, 이러한 공격의 위험은 'iOS'와 '안드로이드(Android)' 단말기에 모두 동일하게 존재한다고 iOS 앱 개발자가 경고했다.

iOS 소프트웨어 개발자 '조던 스미스(Jordan Smith)'는 SMS 또는 iMessage로 타인행세를 하며 메시지를 주고받는 악성 공격법에 대해 폭로했다. 그는 악성 앱을 설치하면 대상자의 스마트폰에 연락처가 저장된 지인으로 위장해 메시지를 송수신 할 수 있으며, 당연히 악의적인 공격자는 타인행세를 통해 정보를 얻거나 악성 콘텐츠로 유도할 수 있다고 밝혔다.
스미스에 따르면, 일련의 공격은 스마트폰 앱의 설치 및 이용 시 '사용자의 전화번호' 입력이나 '연락처에 대한 권한'을 요구하는 것으로부터 시작된다. 이러한 권한 부여 자체는 실제 상당수의 앱에서 행해지고 있는 것으로, 이용자들은 앱을 설치할 때 당연히 체크 항목으로 알고 있다. 하지만 공격자는 앱 설치 시 권한을 획득한 후, 잠시 눈에 띄는 공격을 수행하지 않고 대기하고 있다가 이용자가 전혀 눈치체지 못하는 시기에 활동을 시작한다.

악성 앱은 연락처에 대한 액세스 권한을 얻은 후 연락처 데이터를 서버로 전송하여 저장한다. 시기가 오면 몰래 기존의 연락처에 '추가 전화번호'를 입력하는 것으로 준비는 끝난다. 이 추가된 전화번호로 악의적인 공격자가 메시지를 보낼 경우 대상자의 휴대전화에는 '지인의 번호'로 뜨게 된다. 그리고 공격자는 연락처 정보 중에서 '엄마'나 '아빠' 혹은 별명 등의 부가된 정보로부터 사용자와 관련성이 깊은 연락처를 공격 대상으로 선호한다고 한다.

스미스는 지인을 사칭한 메시지 공격을 악용할 수 있는 구체적인 앱에 대해서는 언급을 피하고 있지만, 이러한 공격법에 대해 '애플(Apple)'과 '구글(Google)'에는 이미 보고가 끝난 상태라고 말했다. 다만 "몇 달 전에 설치한 앱이 더 이상 앱 스토어에서 사용할 수 없는 앱으로 분류된 것"으로, 애플에서 대상 앱의 규제가 이루어지고 있음을 시사하고 있다고 밝혔다.

또한 그는 공격을 실현할 구체적인 코드에 관해서는 표기하지 않았지만 "아이디어 자체는 심플하여, 악성 코드를 쓴 공격을 구별하는 일이 쉬운 일"이라고 지적했다. 앱 설치 시 "연락처 액세스에 대한 '읽기'와 '쓰기'를 구분하지 않고 하나로 묶어 권한을 요구한다면 반드시 의심해야 한다"고 스미스는 경고했다.

현재로서는 iOS 및 안드로이드 권한의 취급에 근본적 문제가 있기 때문에, 이 점의 개선을 기다릴 수밖에 없다. 자기 방어를 위해 스스로 대처해야 하며 공개되지 않은 출처나 공개되었더라도 개발자가 알려지지 않은 앱은 더욱 경계가 필요하다고 스미스는 조언하고 있다.


김길수 기자 gskim@g-enews.com