사용자의 금융정보를 노리는 인터넷뱅킹 관련 악성 앱이 지난해 하반기에 부쩍 증가한 것으로 조사됐다. 안랩은 지난달 2013년 발견된 스마트폰 뱅킹 악성 앱의 진화 추세를 분석해 ‘2013년 모바일 악성 앱 변천사’를 발표했다.

안랩의 내부 집계 결과, 사용자의 금융정보를 노려 금전 피해를 발생시키는 인터넷뱅킹 관련 악성 앱(이하 뱅킹 악성 앱)은 2013년부터 본격적으로 발견되기 시작해 총 1,440건이 수집됐다. 특히 올해 하반기에만 뱅킹 악성 앱이 1,384건으로 상반기 56건에 비해 약 25배(24.7배) 증가했다. 형태별로는 단순 피싱 사이트로 연결하는 초기형태에서 공인인증서 탈취, 정상 은행 앱을 악성 앱으로 교체하는 형태로 진화했다.

악성 앱 실행 시 피싱사이트로 연결
연초인 1~2월에 발견된 뱅킹 악성 앱은 스미싱 문자 내 URL을 접속하거나, 구글 플레이 공식 마켓에 등록된 악성 앱을 설치해 실행하면 피싱 사이트로 접속되는 형태가 주로 발견됐다. 이 피싱사이트에서 사용자가 무심코 자신의 금융정보를 입력하게 되는 것이다. 이 피싱사이트의 형태는 모바일에 최적화된 상태가 아닌 PC 웹 형태를 하고 있었으며, 뱅킹 관련 악성 앱의 발생 초기였던 만큼 단순히 브라우저에 웹을 띄우는 기능이 전부였다.

모바일 공인인증서 탈취 악성코드 증가
3월부터는 피싱사이트로 이동하는 형태는 감소하고 공인인증서 파일을 탈취하는 악성코드가 다량 발견되기 시작했다. 해당 형태의 악성코드는 공인인증서뿐만 아니라 메모, 사진 파일도 함께 탈취했는데, 이는 사용자가 스마트폰 내에 메모나 사진으로 저장해둔 금융 정보를 탈취하기 위한 것으로 추정된다. 또한 ‘체스트’와 그 변종처럼 주로 스마트폰 정보, 통신사 정보, SMS 등을 탈취해 소액결제를 노리는 악성 앱이 더 많이 유포됐다.

‘뱅쿤’류 악성 앱 증가
2013년 초반(1월~4월)까지 PC 환경을 모방한 악성 앱이 주를 이뤘으나, 중반부터는 앱을 통해 인터넷 뱅킹을 한다는 모바일만의 특성을 이용한 악성 앱이 발견되기 시작했다. 5월 초부터 정상적인 은행 앱을 삭제하고 악성 앱을 설치하는 ‘뱅쿤(Bankun)’류의 악성 앱이 본격적으로 발견되기 시작했다. 이때 발견된 악성 앱은 주로 드롭퍼(설치 후 추가로 다른 악성코드를 내려받는 PC용 악성코드) 형태로 사용자의 금융 정보를 탈취하는 다른 악성 앱을 추가로 설치하는 기능을 가졌다. 이런 악성 앱은 실행 즉시 정상 앱의 삭제를 요구하기 때문에 사용자가 의심할 수 있었다.
악성 앱의 진화
6월경부터는 앞서 발견된 형태에서 조금 더 진화한 ‘알림(Notification)’ 형태의 악성 앱이 발견되기 시작했다. 드롭퍼 기능을 가진 기존 악성 앱과 유사한 형태이지만, 평소에는 별다른 동작을 하지 않다가 스마트폰에 특정 문자가 수신되었을 때 ‘새로운 업데이트가 있습니다’라는 문구의 알림을 띄워 새로운 악성 앱 설치를 유도한다. 이 형태는 알림 기능을 이용해 사용자의 의심을 피할 뿐만 아니라, 사용자의 스마트폰에 설치된 뱅킹 앱을 체크해 그에 맞는 금융사별 알림을 하는 것이 특징이다.

더 교묘해진 수법
8월부터 더욱 진화한 형태의 악성 앱이 발견됐다. 이전에는 하나의 드롭퍼 형 악성 앱에 금융사별로 피싱 앱 설치파일이 모두 들어가 용량이 컸다. 하지만 이 시기에 발견된 앱은 기능은 드롭퍼로 유사하지만, 사용자 스마트폰에 설치된 금융사별 뱅킹 앱을 확인 후 해당 뱅킹 앱에 맞는 피싱 앱만 내려받았다. 이런 방식으로 악성 앱의 용량을 줄여 쉽게 유포했을 뿐만 아니라 모바일 백신에 감지될 확률도 줄였다. 또한 이렇게 내려받은 피싱 앱은 가짜 모바일 백신이 동작하는 것처럼 꾸미는 등 사용자가 정상 앱과 구별하기 어려웠다.

보안 알리미 창 이용한 지능형 악성 앱 등장
12월부터는 드롭퍼 형태에서 한 단계 더 진화한 악성 앱의 형태가 발견됐다. 이 악성 앱은 모바일 백신 프로그램 업데이트를 사칭한 스미싱을 보내고, 사용자가 해당 URL을 클릭하면 유명 백신 프로그램과 유사한 아이콘의 악성 앱이 내려받게 된다. 사용자가 이를 무심코 설치하면 악성 앱은 사용자의 문자 수신함을 모니터링하다가 문자가 수신되는 등 변화가 감지되면 ‘보안 알리미’라는 알림을 띄운다. 사용자가 확인을 누르면 피싱 기능(화면)을 즉시 실행시켜 금융정보 입력을 유도한다. 기존 드롭퍼는 뱅킹 앱 삭제 및 새로운 앱 내려받기를 요구해 사용자가 의심할 수 있지만, 이 경우는 해당 절차 없이 피싱 기능(화면)을 곧바로 실행해 사용자가 의심할 수 있는 여지가 거의 없다. 또한 알림 창도 정상 앱이 작동하는 것처럼 보이기 때문에 사용자가 의심하기 어렵다. 이처럼 2013년 발견된 모바일 뱅킹 악성 앱은 사용자를 쉽게 속이기 위해 더욱 교묘하고 정교한 형태로 변화했다.

대책방안
스미싱을 포함한 모바일 뱅킹 악성코드로 인한 피해를 줄이기 위해 사용자는 ▲문자 메시지나 SNS(Social Networking Service)에 포함된 URL 실행을 자제하고 ▲모바일 백신으로 스마트폰을 주기적으로 검사해야 한다. 또한 ▲‘알 수 없는 출처(소스)’의 허용 금지 설정을 해둬야 하며 반드시 정상 마켓을 이용해야 한다. 하지만 앞서 살펴본 것과 같이 정상 마켓에도 악성 앱이 올라오는 경우가 있어 앱을 내려받기 전에 반드시 평판을 확인해 보고 사용자 권한을 요구하는 항목이 과도하게 많지 않은지 확인하는 것도 중요하다. 이와 함께 ▲소액결제 차단 혹은 결제금액 제한 ▲스미싱 탐지 전용 앱을 설치하는 것도 좋은 방법이다.
안랩의 이호웅 시큐리티대응센터장은 “스마트폰 사용량이 증가함에 따라 스미싱을 포함한 금전탈취를 목적으로 하는 모바일 뱅킹 악성 앱이 2014년도에도 지속해서 증가할 것”이라며 “특히 사용자를 현혹하기 위한 기법도 교묘해지고 있어 사용자의 각별한 주의가 필요하다”고 말했다.