[디지털비즈온 김맹근 기자] 가짜 앱은 또 다른 소셜 엔지니어링 수법은 사용자는 정상적인 앱이라고 생각하지만 사실은 악성인 앱을 다운로드하도록 유도하는 것이다. 맥켄티는 특히 “스마트폰의 카메라, 마이크 또는 위치 정보에 접근할 수 있는 장난감 앱과 게임”의 파괴력이 크다고 지적했다.

스마트폰에는 애플리케이션 코드를 운영체제에서 격리하는 샌드박스 모델이 있기 때문에 이러한 유형의 앱은 “탈옥된”, 즉 사용자가 애플 기준을 충족하지 않는 앱을 설치하기 위해 개조한 아이폰을 표적으로 삼는 경우가 많다. 그러나 NSA에서 수년간 근무했고 현재 모바일 보안 업체 아이베리파이(iVerify)의 공동 창업자로 COO를 맡고 있는 로키 콜에 따르면 그 시절은 거의 끝났다.

콜은 “iOS 모바일 폰 해킹에서 ‘탈옥’이라는 단어는 더 이상 큰 의미를 갖지 않는다. 몇 년 동안 iOS 익스플로잇과 관련된 탈옥은 발견되지 않았다. 실제 iOS 해킹은 매우 정교한 작업으로 대부분 국가 행위자와 상업적 스파이웨어 벤더의 영역이다. 안드로이드의 경우 대부분의 ‘해킹’은 악성 앱을 설치하는 방식인데, 이를 위해 악성 앱을 앱 스토어에 은밀히 올리거나 사용자를 기만해 사이드로딩을 유도하거나 기타 더 정교한 방식으로 실행되도록 한다”라고 말했다.

스마트폰 물리적 접근

가장 확실하지만 많은 사람이 주의를 기울이지 않는 방법은 해당 디바이스에 물리적으로 접근해서 수동으로 설치하는 방법이다. 이는 가정 폭력이나 스토킹 상황에서 특히 중요하게 봐야 할 수법이지만 기업 스파이 활동에도 사용된다.

폴리가드의 바디얀은 “누군가가 디바이스에 물리적으로 접근할 수 있게 되면 위험의 양상이 완전히 바뀐다”라고 말했다. FlexiSPY, mSpy, Xnspy와 같은 툴은 빠르게 설치해서 몰래 실행할 수 있다. 실행되면 문자 메시지, 통화 로그, GPS 위치를 수집하고 사용자 모르게 마이크나 카메라를 활성화할 수도 있다.

기업 스파이 활동의 경우 악성 구성 프로필(특히 iOS)이나 사이드로딩된 APK(안드로이드)를 배포해 데이터 경로를 변경하거나 네트워크 트래픽을 조작하거나 영구 백도어를 설치할 수 있다. 하드웨어 기반의 위협도 있다. 악성 충전 케이블, 키로거, 데이터를 유출하거나 맬웨어를 주입할 수 있는 이식형 디바이스 등이 여기에 포함된다. 다만 이러한 위협은 가치가 큰 표적을 주로 노리므로 보편적이지는 않다”라고 말했다.

바디얀은 누군가가 내 PIN을 알고 스마트폰에 접근할 수 있다면 생체인식 방어를 우회할 수 있다면서 “공격자는 비밀번호로 디바이스 잠금을 해제한 다음 자신의 지문이나 얼굴 스캔을 추가해서 흔적을 남기지 않고도 지속적인 접근 권한을 확보할 수 있다. 이와 같은 수법에 대비하려면 강력한 디바이스 비밀번호, 생체 인식 제어, 잠긴 상태에서 USB 액세서리 비활성화, 설치된 프로필 및 디바이스 관리 설정에 대한 정기적인 감사를 실행해야 한다”라고 말했다.

침입한 다음에는?

공격자가 위의 수법 중 하나를 사용해서 침입에 성공했다면, 그 다음 단계는 무엇일까?

센코드 사이버시큐리티(Sencode Cybersecurity)의 디렉터인 캘럼 던컨은 스마트폰 OS가 근본적으로 유닉스 계열 시스템에서 파생됐지만 침입에 성공한 공격자는 PC 또는 서버와는 매우 다른 환경에 놓이게 된다고 말했다.

던컨은 “대부분의 앱은 본질적으로 API 호출을 통해 운영체제나 다른 애플리케이션과 접속한다. iOS와 안드로이드의 커널은 태생적 기반인 유닉스 커널과는 너무 달라서 익스플로잇 공유는 거의 불가능하다. iOS와 안드로이드 디바이스에는 모두 명령줄이 존재하지만 최상위 권한으로만 접근할 수 있으며 일반적으로 기기를 루팅 또는 탈옥해야만 접근할 수 있다”라고 말했다.

그러나 어려운 것이지 불가능하지는 않다. 던컨은 “이 유형의 익스플로잇은 분명 존재한다”면서 “권한 승격이 이 프로세스의 핵심이다. 내장된 보안 메커니즘을 우회하기가 어려운 일이지만 사용자 디바이스에서 코드를 실행할 능력을 가진 공격자라면 누구나 실제로 사용자 디바이스에서 코드를 실행한다. 즉, 충분히 영리하다면 결국 디바이스를 원하는 대로 조작할 수 있다. NSO 그룹과 같이 국가 지원을 받는 그룹은 이러한 기법을 사용해 정부 인사와 유명인을 염탐하는 비즈니스 모델을 구축했다”라고 말했다.

콜파이어(Coalfire)의 애플리케이션 보안 센터 디렉터인 케이틀린 요한슨은 디바이스에 침입한 공격자가 접근할 수 있는 민감한 데이터는 놀라울 정도로 많다고 말했다.

“SQLite 같은 데이터 스토어는 설치된 앱에 의해 생성된다. 여기에는 웹 요청과 응답 콘텐츠부터 잠재적으로 민감한 정보와 쿠키에 이르기까지 온갖 정보가 포함될 수 있다. iOS와 안드로이드에서는 메모리 내에 애플리케이션 데이터(인증 자격 증명 등)를 캐싱하거나 실행 중인 애플리케이션의 썸네일이나 스냅샷이 지속되는 약점이 흔히 발견되며, 이 경우 의도치 않게 디바이스에 민감한 정보가 저장될 수 있다. 민감한 정보는 암호화되지 않은 채 브라우저 쿠키 값, 크래시 파일, 환경 설정 파일, 그리고 읽기 쉬운 형식으로 디바이스에 바로 저장되는 웹 캐시 콘텐츠 등에서 자주 발견된다.

요한슨은 “안드로이드의 abd, iOS의 iExplorer, plutil 등 원래는 개발 목적으로 만들어진 툴이 공격자가 데이터를 추출하고 이용하고 수정하는 목적으로도 이용된다. 표준 유틸리티를 사용해서 디바이스에서 복사된 모든 데이터베이스 파일을 검사할 수 있으며, 암호를 해독해야 하는 상황에서는 프리다(Frida)와 같은 툴을 사용해 저장된 값을 해독하는 스크립트를 실행할 수 있다”라고 말했다.

가장 큰 위험은 방심

이 중에서 쉬운 일은 없다. 대부분의 사용자는 스미싱 링크를 클릭하지 않으며 수상한 애플리케이션에 높은 권한을 함부로 부여하지도 않는다. 해커가 디바이스에 침투하더라도 해킹한 스마트폰에 내장된 보안 대책에 가로막히는 경우가 많다.

그러나 공격자들에게는 한 가지 유리한 점이 있다. 바로 확고한 의지다. 룩아웃(Lookout)의 제품 마케팅 디렉터인 행크 슐리스는 “공격자는 모바일 앱이나 새로운 운영체제 버전의 모든 측면을 세세하게 조사하는 고도로 반복 가능하고 자동화된 모델을 만든다. 이들은 악용 가능한 약점을 발견하면 수정 버전이 나오기 전에 최대한 빠르게 이를 이용하려 한다”라고 말했다.

가장 큰 취약점은 인간의 안일함일 것이다. 많은 사람들은 10년 이상 그 반대임을 입증하는 증거가 나왔음에도 불구하고 스마트폰은 정보보안의 다른 영역과는 다르게 안전하다고 생각한다. 아이베리파이의 콜은 “전화기는 전통적인 엔드포인트가 아니라는 인식이 여전히 뿌리깊어서 대부분의 경우 데스크톱과 같은 다른 디바이스에 대한 표준과 관행을 적용하지 않는다.

모바일 보안을 더 이상 틈새 영역으로 취급하거나 자체 해결 방식으로 대응해서는 안 된다. 모든 포괄적인 엔드포인트 탐지 및 대응 전략에 모바일 보안도 포함돼야 한다”라고 말했다.