CloudPNG

ºC

logo
IT/바이오

QR위장 택배조회 앱 확산…북한 김수키, 스마트폰 원격장악 노린다

임태훈 기자
입력

택배 배송 조회를 사칭한 QR코드 기반 악성 앱 공격이 국내 모바일 이용자를 겨냥해 포착됐다. 북한 해킹 조직으로 알려진 김수키가 연말 배송 성수기를 노려 스마트폰에 악성 앱 설치를 유도하고, 문자와 통화기록은 물론 카메라와 마이크까지 통제하려는 시도라는 분석이 나온다. 스마트폰이 금융·인증·사생활 정보가 집중된 디지털 금고로 자리 잡은 만큼, QR코드와 모바일 악성코드가 결합한 공격이 향후 사이버보안의 주요 위협 축으로 부상할 수 있다는 관측도 제기된다. 업계에서는 사용자의 QR 스캔 습관과 앱 권한 관리가 보안 리스크를 가르는 핵심 변수로 떠오르고 있다고 본다.

 

엔키화이트햇 위협연구팀은 9월 한 피싱 사이트에서 택배 배송 조회용으로 위장한 QR코드를 통해 모바일 환경에서 악성 앱 설치와 실행을 유도하는 공격을 확인했다고 19일 밝혔다. 공격자는 택배 배송 안내를 미끼로 사용자를 가짜 조회 페이지로 유인한 뒤, 스마트폰으로만 조회할 수 있다며 QR코드 스캔을 요구하는 방식을 사용했다. 연구팀은 문자, 통화 기록, 위치 정보, 각종 인증 수단이 집중된 스마트폰 환경을 노린 의도적인 선택으로 해석했다.

사용자가 PC 웹 브라우저로 해당 피싱 사이트에 접속하면 실제 택배사의 배송 조회 화면과 유사한 구성에 로고가 표시되고, 하단에는 보안상의 이유로 PC에서는 조회할 수 없으니 스마트폰으로 접속하라는 안내 문구와 함께 QR코드가 노출된다. PC 이용자에게 모바일 전환을 강제함으로써, 보안 솔루션이 상대적으로 덜 깔려 있거나 사용자가 경계심을 낮추기 쉬운 스마트폰 환경으로 공격 표면을 좁히려는 전략이다.

 

스마트폰으로 QR코드를 스캔해 접속하면 가짜 보안 검사 화면이 등장한다. 이 화면에서 보안 앱 설치하기 버튼을 누르면 보안배송확인이라는 이름의 안드로이드 설치 파일 APK가 내려받아진다. 화면 구성과 문구는 일반 이용자가 정식 보안 앱으로 오인하기 쉬운 수준으로 제작돼, 설치 과정에서 의심을 최소화하는 데 초점을 맞췄다.

 

엔키화이트햇 분석 결과, 이 악성 앱은 올해 초 보안기업 S2W가 처음 공개한 안드로이드 악성코드 독스왑의 최신 변종으로 드러났다. 앱이 설치되면 내부에 암호화돼 숨겨진 또 다른 APK 파일을 복호화해 실행하고, 원격제어 RAT 기능을 수행하는 악성 서비스를 자동 등록한다. 이 서비스는 파일 접근, 문자 메시지 수·발신 조회, 통화 기록 열람, 위치 정보 수집은 물론 키로깅을 통한 입력값 가로채기, 오디오 녹음, 카메라 제어 등 최대 57개 명령을 수행할 수 있는 것으로 분석됐다. 사용자의 스마트폰이 사실상 공격자의 원격 통제 하에 놓이면서, 계정 탈취와 금융 사기, 사생활 침해에 악용될 여지가 크다.

 

공격 배후에 대해서는 김수키 연계 정황이 뚜렷하다는 판단이다. 악성 앱과 통신하는 명령제어 C&C 서버 인프라 상당 부분이 과거 김수키가 네이버, 카카오 로그인 정보를 탈취하기 위해 벌인 피싱 캠페인에서 사용된 서버와 중복된 것으로 확인됐다. 또 서버 루트 디렉터리에서 김수키 공격의 전형적 식별자 중 하나로 알려진 Million OK!!! 문자열이 발견됐다. 더불어 악성 앱 유포 사이트와 코드 내부 곳곳에서 한글 주석과 오류 메시지가 발견돼 한국어 기반 공격자가 장기간에 걸쳐 변종을 개발하고 운용해 온 정황이 드러났다는 게 엔키화이트햇 측 설명이다.

 

전문가들은 이번 사례가 QR코드와 모바일 악성코드가 결합한 신종 공격보다, 이미 검증된 사회공학 기법을 연말 쇼핑과 택배 특수라는 생활 패턴에 맞춰 교묘히 재활용한 점에 주목한다. 택배 배송량이 급증하는 시기에는 배송 지연, 분실 알림을 가장한 문자와 이메일이 평소보다 훨씬 많아지기 때문에, 수신자가 위조 알림을 가려내기 어려운 환경이 만들어진다. 여기에 QR코드를 더하면 링크 주소가 가려져 공격 여부를 직관적으로 파악하기 힘든 구조가 된다.

 

엔키화이트햇은 출처가 불명확한 문자나 이메일에 포함된 QR코드는 되도록 스캔하지 않는 것이 1차 방어선이라고 강조한다. 특히 택배 조회, 청구서 확인, 이벤트 당첨 안내 등 즉각적인 확인을 유도하는 메시지는 실제 발신처와 일치하는지 반드시 재확인해야 한다. 지인 계정이 탈취된 뒤 악성 링크 발송에 악용되는 사례도 반복되고 있는 만큼, 평소와 다르거나 어색한 내용이면 발신자에게 직접 연락해 사실 여부를 확인하는 것이 안전하다.

 

앱 설치 단계에서 과도한 권한 요청 여부를 체크하는 습관도 중요하다고 지적한다. 안드로이드 환경에서 앱이 시스템 기능에 접근하기 위해서는 사용자가 해당 런타임 권한을 허용해야 한다. 일반적으로 악성 앱은 실행과 동시에 파일 액세스, 전화, 문자, 위치, 마이크 등 다양한 권한을 한꺼번에 요구하는 경우가 많다. 이번에 분석된 악성 앱 보안배송알림의 경우에도 단순 배송 조회 목적과 관계가 희박한 파일 액세스와 전화 권한 등을 요구해, 권한 목록만으로도 비정상적인 행위를 추정할 수 있는 수준이었다.

 

정상 앱은 대개 최소 권한 원칙에 맞춰 설계돼, 사용자가 특정 권한을 거부하더라도 앱의 필수 기능은 유지되고 해당 기능을 실제 사용할 때 다시 권한을 요청하는 구조를 택하는 경우가 많다. 연구팀은 사용자가 앱 이용 시 항상 최소 권한 원칙을 우선 적용해, 요청 권한이 앱 기능 수행에 필수적인지 보수적으로 판단하는 습관을 가져야 한다고 조언했다.

 

이번 공격은 단발성 위협이 아니라 모바일과 웨어러블 등 개인화 기기를 겨냥한 장기적 침해 시도의 일환이라는 분석도 나온다. 엔키화이트햇은 오늘날 스마트폰이 금융자산과 사생활 등 민감한 개인정보를 집중적으로 담은 움직이는 금고가 됐다며, 공격자 입장에서는 PC보다 스마트폰을 장악했을 때 얻을 수 있는 정보와 금전적 이득이 훨씬 크다고 평가했다. 모바일 결제, 간편 인증, 메신저, 기업용 협업 도구 등 주요 서비스가 스마트폰으로 통합되면서, 단일 기기 침해만으로도 다수의 계정과 시스템에 연쇄 접근이 가능한 구조가 형성됐기 때문이다.

 

보안 업계는 김수키를 포함한 북한 연계 해킹 조직이 전통적으로 외교·안보, 연구기관, 기업 임직원을 겨냥한 표적 공격에 주력해 왔지만, 최근에는 일반 개인 이용자를 상대로 한 금융·정보 탈취형 공격 비중도 점차 늘어나는 추세로 본다. 국내 사용자를 상대로 한 한국어 기반 피싱과 악성 앱이 반복적으로 탐지되고 있어, 공격 인프라가 상시 운영되는 상시전 양상에 가깝다는 분석도 나온다.

 

향후 규제와 제도적 대응 측면에서는 이동통신사와 보안기업이 택배·금융 사칭 문자 차단 정책을 강화하고, 앱 마켓 사업자가 악성 APK 유통 탐지를 고도화할 필요가 있다는 지적이 있다. 동시에 QR코드 인식 앱이나 카메라 기본 기능에 URL 평판 조회, 가시적 경고 표시를 포함하는 등 사용자 경각심을 높이는 기술적 장치 도입 논의도 이어질 것으로 보인다.

 

엔키화이트햇은 이미 스마트폰이 가장 가까운 친구이자 개인 비서가 된 환경에서, 이용자 스스로 유사 공격 패턴과 범행 수법을 미리 숙지하고 예방하는 노력이 필수라고 강조했다. 산업계는 QR코드와 모바일 악성코드 결합 공격이 얼마나 빠르게 고도화되고, 이런 위협 앞에서 사용자 행동과 보안 생태계가 얼마나 신속하게 변화할 수 있을지 주시하고 있다.

임태훈 기자
share-band
밴드
URL복사
#김수키#엔키화이트햇#독스왑