By ANDY GREENBERG, WIRED US

안드로이드 마켓인 구글 플레이스토어(Google Playstore)가 악성 프로그램으로부터 엄격하게 보호 조치를 취하는 것은 아닌 듯 보인다. 광고를 유포하는 애드웨어(Adware)와 다기능 악성코드 뱅킹 트로이 목마는 수 년간 구글의 보안 장치를 반복적으로 피해 다녔기 때문이다. 그런데 최근 보안 연구원들은 국가의 지원을 받는 해커들이 해킹 도구를 플레이스토어와 피해자 폰에 반복적으로 숨기는 등 희귀한 사례를 발견했다.

러시아 보안업체 카스퍼스키(Kaspersky)의 연구진은 원격 가상 버전의 연례 컨퍼런스 '시큐리티 애널리스트 서밋(Security Analyst Summit)’에서 베트남, 방글라데시, 인도네시아, 인도의 안드로이드 사용자를 겨냥해 플레이스토어에 악성코드를 숨겨놓은 ‘팬텀랜스(PhantomLance)’ 해킹 캠페인에 대한 연구 결과를 발표했다. 카스퍼스키 연구진은 플레이스토어 악성코드에서 발견되는 대부분의 수상한 앱과 달리 팬텀랜스 해커들은 수백명의 사용자만 감염시킬 목적으로 데이터스틸링(정보 탈취) 앱을 등록하고, 피싱 이메일을 통해 그 대상들에게 악성 앱 링크를 보냈을 가능성이 높다고 밝혔다.

카스퍼 스키의 연구원 알렉세이 퍼쉬(Alexey Firsh)는“이 경우 공격자들은 구글플레이를 신뢰할 수있는 소스로 사용했다”면서 "이 앱에 대한 링크를 전달하면 구글플레이니까 괜찮을 것으로 피해자는 신뢰했을 것"이라고 말했다.

카스퍼스키는 팬텀랜스 캠페인을 베트남의 유명 해킹 단체이자 APT32라고도 알려진 오션로터스와 결부시켰다. 오션로터스는 베트남 정부를 대표해 활동하고 있는 것으로 널리 알려져 있다. 이는 팬텀랜스 캠페인이 베트남 국민들에 대한 감시와 함께 동남아시아 이웃나라에 대한 스파이 활동을 위한 것으로 보인다. 예를 들어 보안업체 파이어아이(FireEye)는 오션로터스를 베트남 반체제 인사와 블로거들을 대상으로 한 이전 작전에 연계시켰다. 파이어아이도 최근 이 단체가 중국 우한 정부와 중국 비상관리부(China’s Ministry of Emergency Management)를 타깃으로 APT 공격을 벌인 것을 발견했다고 밝혔다. 신종 코로나바이러스 감염증(코로나19) 관련 정보를 수집하기 위해 진행한 것으로 보인다.
 
구글플레이를 중심으로 한 팬텀랜스 캠페인의 첫 번째 힌트는 지난해 7월 밝혀졌다. 러시아 보안업체 닥터웹(Dr. Web)에 따르면, 구글 스토어에서 그래픽 디자인 소프트웨어 다운로더를 가장한 스파이웨어 샘플을 발견했지만 실제로는 안드로이드 폰에서 연락처, 통화 기록 및 문자 메시지 내용을 훔칠 수 있는 기능을 가지고 있었다. 카스퍼스키의 연구진은 그 해 11월 구글플레이에서 브라우저 캐시 삭제 도구인 브라우저 터보(Browser Turbo)를 가장한 유사한 스파이웨어 앱을 발견했다. (구글은 악성 앱이 신고된 후 구글플레이에서 두 개를 모두 삭제했다.) 이러한 앱의 스파이 능력은 상당히 기본적이었지만, 퍼쉬는 그들 둘 다 확장될 수 있었다고 말했다. 그들은 "중요한 것은 새로운 악성 페이로드를 다운로드하는 기능"이라고 덧붙였다.

카스퍼스키는 2015년으로 거슬러 올라가는 수십 개의 다른 유사한 스파이웨어 앱을 찾아냈다. 이 앱들은 구글이 플레이스토어에서는 이미 제거됐지만 앱 리포지토리에서 여전히 볼 수 있는데, 베트남의 인근 교회와 베트남어 뉴스를 찾는 도구를 제공하는 등 베트남에 초점이 맞춰진 것으로 봤다.  모든 경우에 있어서, 퍼쉬 연구원은 해커들이 새로운 계정을 만들었고 심지어 사기꾼 개발자들을 위해 오픈소스 소프트웨어 코드 저장소인 깃허브(Github) 리포지토리를 만들어 앱들이 합법적으로 보이게 하고 그들의 흔적을 감추려 했다고 평했다. 또 퍼쉬 연구원은 카스퍼스키의 안티바이러스 소프트웨어는 약 300개의 고객 전화를 감염시키려는 악성 앱을 탐지했다고 말한다.

대부분 이전의 앱들은 구글 플레이에 남아 있던 두 앱보다 의도를 더 잘 숨겼다. 설치 시 '깨끗하게' 설계되고 나중에 모든 악성 기능을 업데이트에 추가하는 방식을 채용했다. 이러한 악성 페이로드도 안드로이드의 허가 시스템을 무시하도록 하는 '루트' 특권을 악용하는 것으로, 앱이 연락처나 문자메시지 같은 데이터에 접근하기 전에 사용자 동의를 구해야 한다. 카스퍼스키는 앱들이 안드로이드의 운영체제를 해킹하고 그러한 특권을 얻기 위해 사용할 실제 코드를 찾을 수 없었다고 말했다.

<와이어드>가 구글에 코멘트를 요청했을 때, 구글은 성명에서 "연구 결과를 우리와 공유 한 연구자들의 노력에 감사하다”며 “우리는 그들이 찾은 모든 앱에 대해 조치를 취했다”고 답했다.

카스퍼스키가 팬텀랜스 앱들을 식별한 후, 그 연구원들은 그들의 코드를 2013년 이후부터 활동하는 오션로투스가 사용하는 오래된 악성 프로그램과 일치시킬 수 있었다. 예를 들어, 이 앱들은 중국 보안업체 안톈 랩(Antiy Labs)가 2014년 비공식 베트남 앱스토어에서 발견한 안드로이드 맬웨어와 공통점이 있다. 또한 스파이웨어의 커맨드앤컨트롤(C&C) 도메인은 보안 업체 트렌드 마이크로(Trend Micro), 이셋(ESET), 팔로알토 네트웍스(Palo Alto Networks)가 이전에 식별한 데스크톱 대상 오션로투스 악성 프로그램과 겹쳤다.

팬텀랜스는 구글플레이를 악용해 스파이 도구를 유포한 국가지원 해커의 첫 사례는 아니다. 비영리단체인 국경없는 보안회(Security Without Borders)는 지난해 한 해커가 이탈리아 정부를 대표해 구글플레이에 안드로이드 스파이 도구를 숨겼다는 사실을 발견했다. 그리고 지난 11월, 구글은 악명 높은 러시아 해커 그룹 샌드웜 (Sandworm)이 2017년 말 우크라이나인들과 한국인을 겨냥해 구글 플레이에 몇 개의 악성코드를 몰래 심었다고도 밝혔다. 한국을 겨냥한 이유는 아마도 2018년 평창 올림픽에 초점을 맞춘 러시아의 방해 공작의 일환일 것으로 평가된다.

그러나 카스퍼스키의 커트 바움가르트너(Kurt Baumgartner)는 팬텀랜스의 활동은 특히 충격적이다. 구글이 구글플레이에서 오션로투스의 스파이웨어를 상당 부분 제거한 후에도 최소한 두 개의 악성 앱을 탐지하지 못했다는 사실을 보여줬기 때문이다.
바움가르트너는 "이 그룹이 구글 플레이에서 활동적인 것으로 보도된 후에도, 그들은 2019년 후반까지 계속 활동을 하면서 실행 가능한 변형들을 유치했다"고 말한다. 그는 “이것은 벽으로 둘러싸인 정원 접근방식에 무언가를 말해준다”며 “이 정원에 대한 신뢰가 얼마나 흔들리는지를 말해준다"고 평가했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 이지은 에디터)

<기사 원문>
How Spies Snuck Malware Into the Google Play Store—Again and Again