[디지털비즈온 김맹근 기자] 스마트폰 혁명이 일어나자 기술 업계는 마침내 안전한 컴퓨팅 플랫폼을 구현할 수 있는 두 번째 기회가 왔다고 생각했다. 버그에 시달리는 PC, 취약한 서버와 달리 스마트폰은 완전히 봉쇄할 수도 있고, 맬웨어에 면역 기능을 갖춘 것으로 알려졌기 때문이다.

ITWorld의 조쉬 프룰링거에 따르면, 스마트폰도 여전히 컴퓨팅 장치이고, 그 사용자는 여전히 사람이다. 이 두 가지 요소는 항상 약한 고리다. 공격자가 주로 어떤 방법을 사용해서 사용자 손 안의 강력한 컴퓨터인 스마트폰에 침입하는지 제대로 알아보기 위해 보안 전문가에게 조언을 구했다.

제로클릭 스파이웨어

스마트폰을 대상으로 한 가장 무섭고 정교한 공격은 사용자의 명확한 개입이 없어도 공격에 성공할 수 있는 제로클릭(zero-click) 공격이다. 노우비4(KnowBe4)의 데이터 기반 방어 에반젤리스트 로저 그라임스는 상업적 감시 기술 업체(CSV)들이 익스플로잇을 무기화하는 방법을 설명했다.

CSV는 맬웨어와 익스플로잇을 최고가 입찰자에게 판매하는 범죄 조직이다. 그라임스는 “현재 발견되는 대부분의 제로데이가 CSV의 소행이며, 특히 휴대전화에서 이 같은 현상이 두드러진다. 2023년에는 다른 방법보다 제로데이가 사람들을 공격하는 데 더 많이 사용됐다고 말했다. 특히 사용자 상호작용이 필요 없는 변종이 위험하다. 그라임스는 “최종 사용자와 아무런 상호작용 없이 제로데이가 실행되는 경우도 있고, 사용자가 단순히 메시지를 읽고 이메일을 열고 첨부 파일을 열거나 링크를 클릭할 때 실행되는 경우도 있다”라고 설명했다.

그라임스는 많은 익스플로잇의 사용법이 백그라운드 푸시 메시지 또는 왓츠앱 메신저에서 문자 보내기만큼 간단하다면서 “사용자가 문자를 보는지 안 보는지는 중요하지 않다. 제로클릭 공격은 일단 접촉만 하면 피해자를 거의 100%를 확보할 수 있다”라고 말했다. 많은 경우 상업적 기술 업체 또는 국가 단위 행위자에 수십~수백만 달러에 판매된다. 그라임스는 “미국과 같이 여력이 충분한 국가 행위자의 경우 수천 개의 제로클릭 공격을 보유하고 있다가 필요할 때 사용한다는 소문이 있다”라고 말했다.

ADAM네트웍스(ADAMnetworks)의 CEO 데이비드 레데코프는 제로클릭 공격이 가치가 큰 표적에는 심각하고 지속적인 위협이 되지만 대중을 대상으로 한 공격은 아니라고 강조했다. 일반 사용자는 비교적 기술 수준이 낮은 다양한 공격에 직면한다. 물론 위험하기는 마찬가지다.

소셜 엔지니어링

해커가 디바이스에 침입하는 가장 쉬운 방법은 사용자가 직접 문을 여는 것이다. 물론 말처럼 쉽지는 않은 일이지만 대부분의 소셜 엔지니어링 공격은 이것을 목표로 한다.

스마트폰 운영체제의 보안 체계는 일반적으로 PC나 서버에 비해 더 엄격하고, 애플리케이션 코드는 샌드박스 모드에서 실행되므로 권한 승격을 통해 디바이스를 장악하는 방법이 통하지 않는다. 그러나 이 보안 모델, 즉 코드가 스마트폰 운영체제 또는 스토리지의 보호되는 영역에 액세스하기 위해서는 모바일 사용자의 명확한 확인이 필요한 모델에도 단점은 있다. 바로 팝업 메시지가 많이 뜨고, 대부분의 사람들은 팝업 메시지를 무시하는 데 익숙하다는 점이다.

쿠마(Kuma)의 보안 애널리스트 카탈리노 베가는 “모바일 디바이스의 애플리케이션은 사용자 데이터에 접근하는 무단 앱으로부터 사용자를 보호하기 위해 권한을 분리한다. ‘이 애플리케이션이 귀하의 사진에 접근하도록 허용하시겠습니까?’라고 묻는 메시지가 표시된다. 이 메시지는 곧 익숙하게 느껴진다. 모바일 디바이스의 사용자 환경에서 요청 메시지는 일종의 관문으로, 이 요청을 수락해서 관문을 통과해야 앱의 기능을 이용할 수 있기 때문이다. 결국 대다수 사용자는 앱이 무엇을 요청하든 그냥 허용한다”라고 말했다.

폴리가드(Polyguard)의 CEO이자 공동 창업자인 조슈아 맥켄티는 “조직화된 그룹이 사용하는 새로운 기술 툴이 소셜 엔지니어링 공격의 부활을 이끌고 있다. 예를 들어 다양한 형태의 피싱과 소셜 엔지니어링이 이제 AI로 더욱 강력해졌다. 여기에는 침해로 획득한 신원 데이터를 이용하는 딥페이크, 고도로 개인화된 이메일과 문자 사기가 포함된다”라고 말했다.

악성 광고

사람을 속이는 대화 상자를 생성하는 전통적인 메커니즘 중 하나는 브라우저 또는 앱 내의 모바일 광고 생태계를 위해 개발된 인프라에 편승하는 이른바 악성 광고다.

폴리가드의 CTO이자 공동 창업자인 카뎀 바디얀은 악성 광고에 대해 “차츰 사라지고 있는 고전적 수법”이라면서 “브라우저 샌드박싱의 발전, 더욱 엄격해진 앱 스토어 정책, 전통적인 웹 브라우징에서 앱을 중심으로 한 모바일 사용 형태로의 변화로 인해 악성 광고의 효과는 전보다 훨씬 떨어졌다”라고 말했다.

그러나 ADAM네트웍스의 레데코프는 악성 광고가 사이버범죄 생태계에서 여전히 중요한 구역을 차지하고 있다면서 “구글이 TAG 게시판을 통해 제거된 도메인 수를 정기적으로 보고한다는 점과, 구글이 2024년에 유해한 광고 51억 개를 차단하고 광고주 계정 3,920만 개를 정지했다는 보고서 내용을 감안하면 악성 광고 문제는 여전히 사라지지 않고 있음이 명확하다”라고 말했다.

스미싱

공격자가 피해자에게 탭으로 이동이 가능한 링크를 제시하기 위해 사용하는 또 다른 벡터는 SMS 문자 메시지다. 흔히 SMS 피싱 또는 스미싱이라고 한다.

와이어(Wire)의 CRO인 라스무스 홀스트는 “사이버 범죄자는 의도와 목표에 따라 여러가지 방법으로 SMS 피싱을 사용할 수 있다. 디바이스에 맬웨어를 설치하는 것이 목표라면 일반적으로 파일을 첨부해서 사용자가 해당 파일을 클릭해 다운로드하도록 유도하는 메시지와 함께 보낸다 예를 들어 사이버 범죄자는 고용주나 관리자 등 공격 대상이 신뢰할 만한 사람을 사칭해서 첨부된 문서를 검토하라고 지시하는 메시지를 보내 바쁘고 경계심이 없는 피해자를 함정으로 끌어들인다”라고 말했다.

스미싱은 검증된 해커의 수법이지만 폴리가드의 맥켄티는 “관건은 링크를 ‘클릭 가능하게’ 만드는 것”이라면서 “지난 몇 개월 동안 애플 SMS 링크 방어 시스템에서 여러 취약점 악용이 관측됐다. 구글과 같이 사람들이 신뢰하는 도메인을 통해 악성 링크를 유포하고(AMP 및 구글 사이트 취약점 이용), 거의 사용되지 않는 user:pass@host 형식의 빈 자격 증명을 사용해 ‘기본 인증 보호’ URL에 대한 예외를 이용하는 방식 또는 빈 서브도메인을 둘러싼 파싱 취약점이 있다”라고 말했다.