'당신의 스마트폰은 잠겼습니다. 스마트폰을 작동시키려면 비트코인을 보내시오.'
스마트폰을 노리는 랜섬웨어가 급증했다. 스마트폰도 랜섬웨어 피해에서 자유롭지 못하다.
세인트시큐리티(대표 김기홍)는 올 들어 클라우드 악성코드 자동분석 플랫폼 '멀웨어스닷컴'에 스마트폰에서 동작하는 랜섬웨어 샘플이 급증했다고 밝혔다. 올해 초 5개에 불과했던 모바일 랜섬웨어 샘플은 3월 98건에서 4월 459건, 5월 1133건으로 증가했다. 이후 다소 소강상태를 보였다가 7월 13건이 나타난 후 8월 1874건이나 발견됐다.
멀웨어스닷컴은 신종 악성코드가 안티바이러스 솔루션 등에 감지되는지 알아보는 기능이 있다. 김기홍 세인트시큐리티 대표는 “해커가 모바일 랜섬웨어 유포를 준비하면서 샘플을 시험하는 단계일 수 있다”면서 “8월 들어 샘플이 급증해 예의주시하고 있다”고 말했다. 국내 유포를 노리는 조직이 테스트 단계일 가능성이 크다.
모바일 랜섬웨어에 감염되면 스마트폰을 못 쓰게 된다. 랜섬웨어에 따라 스마트폰 첫 화면을 잠그거나 저장된 파일을 암호화해 삭제하기도 한다. 모바일 랜섬웨어는 스마트폰 '기기 관리자'로 등록되는데다 삭제 방지 기능을 포함해 제거가 어렵다.
아직까지 국내를 대상으로 모바일 랜섬웨어가 유포되지 않았지만 동유럽, 중국, 영어권 국가를 대상으로 피해가 늘었다. 지난 5월 국내 인터넷 호스팅 기업이 13억원에 달하는 대규모 몸값을 지불한 사실이 알려지며 한국을 겨냥한 공격이 발생할 가능성이 높다. 모바일 랜섬웨어 유포는 인터넷이나 SMS 등으로 이뤄진다. 인터넷에 연결된 누구라도 피해자가 될 수 있다.
안랩에 따르면 모바일 랜섬웨어는 주로 성인물 사이트에서 유포된다. 공격자는 성인물 사이트에 앱을 위장해 모바일 랜섬웨어 다운로드를 유도한다. 앱이 자동으로 설치되지 않으며 다운로드된 APK파일을 터치할 경우 앱 설치 화면으로 넘어간다. 설치 완료와 동시에 기기 관리자 권한 획득을 시도하며 바로 랜섬웨어 기능을 시작한다.
블랙마켓도 모바일 랜섬웨어 유포지다. 공격자는 어도비 플래시 플레이어, 안티바이러스 앱, 유명 게임 아이콘, 비디오 플레이어, 안드로이드 시스템 아이콘을 위장해 랜섬웨어를 유포한다.
문자메시지도 이용한다. 공격자는 플래시 플레이어 업데이트나 금융기관 등을 사칭해 랜섬웨어 다운로드 링크를 포함한 문자 메시지를 유포한다. 다운로드 링크를 클릭하면 자동으로 다운로드된다.
스마트폰에 랜섬웨어가 설치되면 일반 방법으로 삭제가 힘들다. 스마트폰 백신이 탐지를 하더라도 기기 관리자를 해제할 수 없어 수동으로 제거해야 한다. 모바일 랜섬웨어 역시 예방이 필수다. 모바일 랜섬웨어를 막으려면 스마트폰에서 알 수 없는 출처 앱 설치에 주의한다. 안드로이드는 공식 마켓이 아닌 다른 경로에서 앱 설치가 가능하다. 해외서 발견되는 모바일 랜섬웨어 중 상당수가 성인 앱을 사칭한다. 성인 앱을 위장해 설치를 유도한 후 불법 음란물을 소장하거나 시청해 법을 위반했다고 협박한다. 앱이 기기 관리자에 등록하는 것을 조심한다. 앱 설치 후 기기 관리자 등록을 요구하는 경우 세심히 주의해야 한다.
<월간 모바일 랜섬웨어 프로파일링 (자료:멀웨어스닷컴)>
[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com
