머니투데이

[머니투데이 성연광기자][모바일 악성앱의 역습…"소액결제사기·좀비스마트폰앱 이어 스파앱까지"]

# 대학생 김모씨(20)는 얼마 전 구글플레이에서 '터치파이터'앱을 다운받았다. 이 배은 카카카오톡에서 유명세를 타고 있는 모바일 게임이다. 그러나 정작 그가 다운받은 앱은 '터치파이터'앱을 위장해 스마트폰 문자메시지를 빼내는 스파이앱이었다. 김씨는 "설마 구글플레이 공식 마켓에서 다운받은 앱인데 그대로 설마했다"며 "추가로 앱을 다운받아 사용하는 것 자체가 무서울 정도"라고 하소연했다.

올들어 스마트폰에 유포되는 모바일 악성 앱이 크게 늘고 있다. 이용자들의 휴대폰 소액결제를 악용한 앱부터 순식간에 좀비 스마트폰으로 만드는 디도스(DDoS) 앱, 심지어는 문자메시지까지 빼가는 스파이 앱 등 다양한 악성 앱들이 창궐하고 있다.

전문가들은 스마트폰 속에 민감한 프라이버시 정보가 많은데다 당장 금전적 손해도 이만저만이 아닌 만큼 이용자 스스로 PC보다 더욱 보안에 신경써야한다고 입을 모으고 있다.

◇모바일 악성 앱 '제방 뚫렸나'…금전탈취에서 민감한 프라이버시까지

지난해까지만해도 모바일 악성코드는 남의 나라 일로 치부됐다. 그러나 올들어 모바일 악성 앱이 국내에 본격적으로 출현하면서 더 이상 '대한민국=모바일 안전지대''라는 공식도 해체됐다.

한국인터넷진흥원에 따르면, 지난 10월 정부기관을 사칭한 모바일 앱 3건이 첫 발견된 이후 서서히 늘다 올초 무려 55종의 신규 모바일 악성 앱이 출현했다. 그야말로 한꺼번에 봇물이 한꺼번에 터진 셈이다.

종류도 다양하다. 먼저 소액결제 사기를 노린 이른바 스미싱(Smishing) 앱과 스마트폰 뱅킹 사용자들을 겨냥한 피싱 앱 등 사용자들의 금전피해를 유발하는 악성 앱들이 기승을 부리고 있다. 이는 이용자의 스마트폰에 설치돼 소액 결제 시 휴대폰 승인번호를 몰래 가로채거나 보안카드 등 금융뱅킹 정보들을 가로챈다.

'좀비 스마트폰'으로 만드는 모바일 디도스용 앱 출현도 잇따르고 있다. 이 앱은 불특정 다수의 스마트폰에 감염돼 있다가 특정 시간에 특정 웹사이트에 과도한 트래픽을 유발하는 공격에 악용된다. 좀비 스마트폰이 되면 데이터 소진이 빨리지고 속도 성능 저하 등도 나타난다. 특히 무제한 데이터 요금제가 아닌 경우라면 자칫 요금폭탄을 유발할 수도 있다.

최근에는 스마트폰에 감염돼 있다 SMS(문자메시지) 정보를 한꺼번에 탈취해가는 스파이 앱도 크게 늘고 있는 추세다. 금전 탈취 수준을 넘어 민감한 프라이버시 정보까지 유출될 수 있는 셈.

문종현 잉카인터넷시큐리티 대응팀장은 "스파이앱을 이용해 타인의 뒷조사를 대행해주는 사이버 흥신소들도 암암리에 성행하고 있는 것으로 나타나고 있다"며 "주로 중국등지에서 활동하며 유튜브에 홍보를 하거나 가맹점까지 내는 등 수법도 과감해지고 있다"고 말했다.

◇'아차하면 깔린다'…모바일 쿠폰, 연말환산금, 통신요금 등 유혹

유포 수법도 보다 지능화되고 있다. 방송통신위원회, 한국인터넷진흥원 등 정부기관을 사칭한 문자메시지로 설치를 유도하는 방식은 이제 구식.

편의점, 제과점 등 각종 이벤트 문자로 사칭하거나 '주민번호가 도용됐다'며 명의도용방지 서비스로 가장한 사례도 발견됐다. 통신사나 스마트폰 제조사나 구글에서 발송한 문자처럼 속여 이용자들을 현혹시키는 경우도 있다.

이들 방식은 이용자가 문자 메시지에 첨부된 링크주소를 클릭하면 악성 앱이 몰래 설치되는 구조다. 이용자들의 피해가 늘면서 수상한 링크주소 아예 클릭하지 않는 이용자들이 늘자 이번엔 대담하게 구글 플레이 공식마켓에 악성 앱을 올리는 수법도 사용하고 있다.

실제 최근 카카카오톡 게임 앱으로 위장한 스파이앱들이 구글 플레이 마켓에서 발견됐다. 구글 플레이에서 애니팡, 터치파이터, 윈드러너:진화의 시작 등 유행 게임 앱을 검색해 설치해 검색결과 중 특정 앱을 설치하면 스마트폰에 게임 아이콘이 깔리지만, 실제 설치된 앱은 스마트폰 이용자의 개인정보를 빼내는 앱으로 확인됐던 것.

문종현 팀장은 "구글 플레이 공식마켓조차 악성 앱으로부터 100% 안전하지 않다는 점을 보여준 사례"라고 지적했다.

◇"앱 다운 유도 문자 반드시 확인해야"…모바일 백신도 생활화

전문가들은 이같은 모바일 악성 앱에 따른 피해를 예방하기 위해서는 무엇보다 이용자 스스로 조심해야한다고 충고하고 있다.

KISA 관계자는 "모바일 악성 앱은 대개 문자메시지에 삽입된 링크나 앱 마켓을 통해 설치되는데, 정부 및 공공기관 뿐 아니라 최근에는 금융기관, 유명브랜드, 모바일백신 등으로 사칭의 대상이 확대되고 있어 각별한 주의가 필요하다"며 "특히 앱 다운을 유도하는 문자메시지는 즉시 삭제하고 공식 앱마켓에서도 출처가 불분명한 앱은 가급적 설치를 자제해야 한다"고 당부했다.

모바일 앱이 갈수록 늘고 있는만큼 이제 백신을 통한 점검도 필수적이다.

방송통신위원회가 최근 발표한 실태조사에 따르면, 스마트폰에 모바일 백신 프로그램을 설치하고 정기 검사를 진행하는 국내 이용자는 31.1%에 그친 것으로 조사됐다. 운영체제나 백신 프로그램을 항상 최신버전으로 업데이트하고 있다는 이용자 수도 35.2%에 불과했다. 그만큼 사용률이 저조하다는 얘기다.

보안 전문가들은 "모바일 백신으로 100% 악성 앱들을 잡아낼 수 없지만 자신의 소중한 정보를 지키는 최소한의 안전장치가 될 것"이라며 "이제 PC와 같이 주기적으로 스마트폰의 악성코드 실행, 설치여부를 확인하는 등 보안 생활화가 중요하다"고 입을 모았다.

[스타뉴스 공식 글로벌 버전 애플리케이션]

[증권알리미]국내외 증시핫이슈 및 오늘의 승부주!

[머니원]北 리스크로 조정, 매수 기회로

[머니투데이 핫뉴스]

☞ "탈퇴 할래" 국민연금 가입자 수천명이… ☞ 北 "더이상 할말 없다, 오직 힘으로!" ☞ 임대주택 2년 살면 '車 한대'값 모은다 ☞ 쌍꺼풀수술 '120만→44만원' 파격할인, 사실은… ☞ 김연아 티아라 귀걸이 이어 시계도 대박?

[book]10년의 선택, 중국에 투자하라

[핫이슈]'멘사' 천재들 뭉쳐 15년 투자했는데... "맙소사"

머니투데이 성연광기자 saint@

< 저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지 >