‘괜찮은 앱’인 척 깔고 나서 악성으로 돌변…‘샤크봇’ 주의

구글 클라우드, 3분기 위협 보고서 발표

스마트폰을 사용하는 사람들의 모습. 연합뉴스

최근 안드로이드 운영체제를 쓰는 모바일에서 ‘초기 버전’에는 괜찮은 앱이었다가 사용자가 내려받은 뒤에 ‘악성 업데이트’를 통해 실체를 드러내는 사례가 확인되고 있어 모바일 보안에 적신호가 켜졌다는 보고가 나왔다. 이는 구글 플레이 등 앱 장터 플랫폼에 대한 ‘신뢰’를 악용하는 행위여서 각별한 주의가 요구된다.

구글 클라우드는 구글이 자체 분석한 보안 정보를 제공하는 ‘2023년 3분기 위협 지형 보고서’(Threat Horizons Report)를 발표했다고 8일 밝혔다. 특히 이번 보고서에서는 ‘모바일 앱 버저닝(Versioning)’(모바일 앱이 수시로 버전을 업데이트하는 행위)을 악용해 모바일 앱 장터의 보안 검열이나 보안 장비·소프트웨어 등의 탐지를 회피하는 사례가 최근 확인되고 있다며 주의를 당부하는 내용이 담겼다.

구글 클라우드는 구글이 자체 분석한 보안 정보를 제공하는 ‘2023년 3분기 위협 지형 보고서’(Threat Horizons Report)를 발표했다고 8일 밝혔다. 표지 갈무리

이같은 앱들은 구글 플레이와 같은 앱 장터에 올라오는 ‘초기 버전’에서 보안 검열을 통과해 신뢰할만하다는 평가를 받는 앱의 모습이었다가 이후 사용자가 자신의 모바일에 설치하고 나면 악성 업데이트해 멀웨어(남에게 피해를 주기 위해 개발된 악성 소프트웨어)로 변하는 방식을 취하고 있다. 때문에 구글 플레이에 올라온 앱이니까 안심하고 내려받았던 사용자들이 악성 업데이트 뒤에 피해를 볼 수 있다.

보고서는 이런 기술을 사용하는 악성 소프트웨어로 멀웨어 변종에 속하는 샤크봇(SharkBot)을 꼽았다. 샤크봇은 자동 변환 서비스(Automated Transfer Service) 프로토콜을 사용해 자신이 설치된 모바일을 공격해 자동으로 송금을 시작하도록 하는 인터넷 뱅킹 악성 소프트웨어다.

기본적으로 구글 플레이는 모바일 앱의 악의적인 징후를 포착할 경우 해당 앱을 제거하거나 개발자 계정을 종료하는 등의 조처를 한다. 하지만 이같은 구글 플레이의 검열을 우회하는 기술이 발전하고 있는 만큼 보고서는 기업 담당자들에게 응용 프로그램 배포 관리 도구를 사용하고 악성 앱 탐지 기능을 최신 상태로 유지하라고 권고했다. 또 앱을 내려받을 때는 유명하고 평판이 좋은 개발자의 것인지 확인하고 설치하라고 당부했다.

임지선 기자 sun21@hani.co.kr