모바일 악성코드 (Mobile Malignant code)

@ 모바일 악성코드 (Mobile Malignant code)

 모바일 악성코드는 스마트폰을 포함한 모바일 단말을 대상으로 정보유출, 단말 파괴, 불법 과금등의 악의적인 행위를 수행하기 위한 악성 프로그램으로 정의할 수 있다. 모바일 악성코드는 모바일 단말의 성장과 더불어 규모면에서 빠르게 증가하고 있고, 위협 요인도 다양화되고 있다. 모바일 악성코드가 증가하는 원인은 악의적인 목적을 가진 악성코드의 제작 및 유통이 가능한 개방형 단말기의 증가와 함께 블루투스, Wi-Fi와 USB등 외부 접속의 다양화가 원인이라고 할 수 있다. 모바일 악성코드는 초기에 단순히 전파를 목적으로 하거나 단말의 기능적 동작을 마비시키는 형태에서 개인정보의 유출 및 금전적 이득을 목적으로 하는 형태로 변화되고 있다. 지금까지 존재한 모바일 악성코드를 주요 활동별 특성을 반영하여 분류하면 5가지 형태로 구분할 수 있다.


1. 단말 장애 유발형 악성코드

- 단말의 사용을 불가능하게 만들거나 장애를 유발하는 공격 유형이다. 2004년에 발견된 Skulls가 단말의 기능을 마비시키는 단말 장애 유발형 악성코드의 한 예이다. 이 악성코드는 모든 메뉴아이콘을 해골로 변경시키고 통화 이외의 부가기능을 사용할 수 없게 만든다. 2005년에 발견된 Locknut 악성코드는 단말의 일부 키 버튼을 고장내는 특성을 가지고 있다. 이외에도 전화의 송수신 기능을 마비시키는 Gavno가 등장하였다.


2. 배터리 소모형 악성코드

- 단말의 전력을 지속적으로 소모시켜 배터리를 고갈시키는 공격 유형이다. 2004년에 블루투스를 통해 전파되는 최초의 모바일 악성코드인 Cabir가 대표적이다. Cabir는 단말의 침해를 유발하지 않는 대신 지속적으로 인근 단말의 블루투스를 스캐닝하고, 블루투스를 통해 악성코드를 전파하는 특징을 가지고 있다. 감염된 단말은 지속적인 스캐닝을 통해 배터리의 고갈 피해를 입게 된다.


3. 과금 유발형 악성코드

- 단말의 메시징 서비스나 전화 시도를 지속적으로 시도하여 과금을 발생시키는 공격 유형이다. 2006년 러시아에서 제작된 J2ME 플랫폼용 RedBrowser가 대표적인 사례로서 감염된 단말은 사용자도 모르게 불특정 다수에게 SMS를 전송함으로서 사용자에게 금전적 피해를 입히는 악성코드이다. 또한 중국에서 2008년에 발견된 Kiazha 악성코드는 감염된 단말 화면에 사용자에게 돈을 요구하는 경고 메시지와 함께 단말내에 저장된 문자메시지를 삭제한다.


4. 정보 유출형 악성코드

- 감염된 단말의 정보나 사용자 정보를 외부로 유출시키는 공격 유형이다. 2008년 발견괸 Infojack이 대표적인 예이다. 이 악성코드는 합법적인 애플리케이션이 단말에 다운로드될 때, .cab 설치 파일과 함께 포함되어 설치되고, 설치된 후 특정 웹 서버에 접속하여 Infojak의 나머지 부분을 다운로드하여 재설치한다. 설치가 완료되면 단말의 보안설정을 변경하고 단말의 시리얼 번호, OS, 설치된 애플리케이션등 단말의 정보를 외부로 전송하여 2차공격을 용이하게 한다. 사용자의 정보를 외부로 유출시키는 또다른 악성코드로는 Flexispy, PBStealer가 있다. Flexispy는 스파이웨어 형태의 상용 악성코드로서 스마트폰의 전화기록, 문자메시지 내용을 특정 웹서버로 전송하는 기능을 가지고 있다.


5. 크로스 플랫폼형 악성코드

- 모바일 단말을 통해 PC를 감염시키는 공격 유형이다. 2005년에 발생된 Cardtrap.A가 최초의 크로스 플랫폼형 악성코드로서 폰의 메모리 카드에 윈도우 웜을 복사하여, 감염된 폰 메모리카드를 PC에 장착했을 때 autorun을 통해 PC를 자동으로 감염시켜 데이터를 삭제하거나 성능을 저하시킨다. 모바일 기기간의 확산이 아닌 모바일 기기에서 PC를 감염시킨다는 점에서 새로운 형태의 공격 유형이라 할 수 있다.

[출처 : 전자통신동향분석 제25권 제3호 - 스마트폰 보안 위협 및 대응 기술]