사이버 범죄자가 현실 세계에서 `포켓몬 트레이너`가 되고
싶은 이들을 노린다. 스마트폰 증강현실(AR) 게임 `포켓몬 고`가 선풍을 일으키며 인기를 끄는
가운데 악성코드가 담긴 위·변조 애플리케이션(앱) 설치파일(APK)이 유포됐다. 아직 공식 출시되지
않은 국내는 블로그, 웹사이트, 온라인 커뮤니티 등 비공식 경로로 포켓몬 고 APK 파일이 유통돼
주의가 필요하다.
<포켓몬고>
14일 업계에 따르면 포켓몬 고 인기를 타고 관련
악성코드가 속속 발견됐다. 클라우드 기반 악성코드 분석 플랫폼 멀웨어즈닷컴은 포켓몬 고와 같은
이름으로 위장한 악성 APK를 여러 건 수집했다. 해외 보안 업체에서도 포켓몬 고 관련 비공식 APK
파일의 위험성을 경고했다.
네이버 등 검색포털에는 국내에서 포켓몬 고를
스마트폰에 설치하고 이용하는 방법에 대한 문의가 줄을 잇는다. 공식 앱 마켓에서 구입할 수 없기
때문에 APK를 내려 받아 스마트폰에 직접 설치하는 방안이 해결책으로 꼽힌다. 일부 블로그와 온라인
커뮤니티 등에서는 설치 방법과 APK 파일을 첨부해 제공하고 있다.
<네이버
등 검색포털에는 포켓몬고 설치 방법을 묻는 문의가 줄을 잇는다.>
문제는 APK 파일 안전성과 신뢰성을 검증하기
어렵다는 점이다. 위치정보와 카메라 등 포켓몬 고 게임 자체가 기본으로 많은 데이터 접근 권한을
요구하는 데다 해커가 위조·변조한 파일을 구분해 내기 쉽지 않다. 일부 악성 APK는 앱 아이콘과
실행 초기화면까지만 정상과 동일하고 이후 게임 진행은 안 된다.
김기홍 세인트시큐리티 대표는 “다양한 경로로
멀웨어즈닷컴에 포켓몬 고 관련 악성 APK가 수집되고 있다”면서 “자세한 악성 행위에는 좀 더 분석이
필요하지만 정상 포켓몬 고 설치파일과 동일한 이름에다 각종 정보를 빼내는 기능을 내부에 담고 있다”고
경고했다.
해외 보안업체 프루프포인트, 맥아피 등은 `드로이드잭`이
포함된 안드로이드 버전 포켓몬 고 APK를 발견했다. 드로이드잭은 원격 접근 툴(RAT)의 일종이다.
감염된 스마트폰에서 주소록과 통화 기록을 훔쳐보고 사진 촬영, 녹음 등 원격 조작이 가능하다. 게임
실행에 요구되는 접근권한과 구분하기 어려워 피해자가 감염 사실을 인식하지 못한다.
<멀웨어즈닷컴에
수집된 포켓몬고 관련 악성 APK 파일 정보. 파일 패키지명에 `포켓몬고`로 돼 있으나 여러
안티바이러스 제품에서 악성코드로 진단한다.(자료:멀웨어즈닷컴 캡쳐)>
프루프포인트는 악성 APK 판별 방법의 하나로 앱
해시값과 권한 허용 항목 등을 살펴볼 것을 제시했다. 일반인이 활용하기는 사실상 불가능할 것으로
보인다. 보안 전문가는 비공식 경로로 `알 수 없는 출처`의 APK 설치는 언제나 위험하다고
경고한다. 하지만 강원도 속초 등 일부 지역에서 포켓몬스터가 등장한다는 소식이 알려지면서 게임 설치가
빠르게 늘고 있어 악성코드 감염 위험도 한동안 계속될 전망이다.
박찬암 스틸리언 대표는 “공식 앱으로 위장한 APK
외에도 더 많은 몬스터가 나타난다든가 쉽게 잡을 수 있다는 식으로 변조한 악성 앱이 등장할 가능성이
크다”면서 “어떤 상황에서도 APK 직접 설치를 이용한 비공식 앱은 위험하다”고 주의를 당부했다.
[출처 : 안랩(www.ahnlab.com)]