⁠⁠⁠⁠⁠⁠⁠

/사진제공=카스퍼스키

결혼식 디지털 청첩장에 금융정보 탈취용 악성코드가 포함돼 유포되고 있다는 사실이 보안 기업의 조사로 드러났다.

카스퍼스키는 지난해 이 회사가 처음 발견한 뱅킹 트로이목마 '숨니봇'(SoumniBot)을 다운로드하도록 속이는 정교한 악성 캠페인을 발견했다며 18일 이같이 밝혔다. 카스퍼스키는 지난해 8월부터 진행된 숨니봇 캠페인에서 공격자들이 사용한 약 400개의 도메인을 확인했다.

공격자는 잠재적 피해자에게 결혼식 라이브 스트리밍에 참여할 수 있는 옵션이 포함된 디지털 청첩장 링크를 보낸다. 잠재적 피해자가 이 링크를 클릭하면 숨니봇 멀웨어가 다운로드된다. 숨니봇은 주로 한국 온라인뱅킹 이용자를 대상으로 하는데 일단 설치되면 은밀하게 작동되며, 쉽게 탐지되지 않도록 앱 아이콘 숨기는 등 특징을 보인다.

숨니봇은 또 연락처나 SMS(단문메시지), 사진 및 동영상 뿐 아니라 한국의 은행들이 사용하는 디지털 인증서까지도 탈취한다. 피해자 기기에서 임의로 SMS를 발송하거나 매 15초마다 수집된 데이터를 공격자 서버로 전송하는 기능까지 갖췄다.

이 악성코드는 압축 방법 조작, 매니페스트 크기 변조, 분석 도구를 압도하는 매우 긴 이름 공간 문자열(long namespace strings) 사용 등 3가지 정교한 기술 수법을 사용하여 탐지 시스템을 회피한다.

카스퍼스키 위협 연구소의 멀웨어 분석가인 드미트리 칼리닌(Dmitry Kalinin)은 "이 공격자들은 청첩장을 악용해 특히 사회공학 기법을 매우 효과적으로 활용하고 있다"며 "멀웨어 제작자는 숨어 있으면서 가능한 한 많은 디바이스를 감염시키려고 한다. 숨니봇은 안드로이드 매니페스트 처리(Android manifest processing)의 약점을 악용해 잠재적인 보안 조치를 우회하는 완벽한 예시"라고 설명했다.

이효은 카스퍼스키 한국지사장은 "숨니봇은 따뜻하고 신뢰할 수 있는 행사를 악용해 악성 링크를 청첩장으로 위장하고 매우 은밀한 방법으로 한국 온라인 뱅킹 사용자를 노리고 있다"며 "사용자가 실수로 이 함정에 걸리면 숨니봇은 뒷단에서 조용히 개인 데이터 및 은행 디지털 인증서와 같은 중요한 정보를 훔치고, 심지어 승인 없이 문자 메시지를 전송해 사용자에게 막대한 피해를 입힐 수 있다"고 했다.

카스퍼스키는 숨니봇 등 위협에 대응하기 위해 △구글플레이 등 공식 앱 스토어에서만 애플리케이션을 다운로드하고 △예상치 못한 청첩장 등 앱 다운로드를 요청하는 메시지에 주의하며 △앱에 접근성 서비스 등 고위험 권한을 부여하는 것을 신중히 검토할 것을 당부했다. 많은 보안 문제가 앱 업데이트로 해결될 수 있으니 운영체제와 중요한 앱을 최신 상태로 유지하는 것도 필요하다.

황국상 기자 gshwang@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지