본문 바로가기 주메뉴 바로가기 검색 바로가기
스파이웨어 공급사, 제로데이 공격으로 안드로이드 기기 겨냥
상태바
more #스파이웨어 #안드로이드 #구글 위협 분석 그룹 #프레데터 #감시
스파이웨어 공급사, 제로데이 공격으로 안드로이드 기기 겨냥
구글 위협 분석 그룹이 공개한 새로운 연구가 안드로이드 사용자가 채용형 감시 공격 산업의 위협을 직면할 위험성을 설명한다.
By LILY HAY NEWMAN, WIRED US

NSO 그룹(NSO Group)과 악명 높은 페가수스(Pegasus) 멀웨어가 탈취 툴을 정부 기관에 판매하는 상업용 스파이웨어 공급사를 둘러싼 논쟁의 중심에 섰다. 이에, 전 세계 연구원과 테크 기업은 갈수록 규모가 더 커지는 인재 혹은 도구를 확보한 감시 업계에 더 경각심을 제기한다. 스파이웨어에 대한 경각심을 강화하려는 노력의 일환으로 구글 위협 분석 그룹(Threat Analysis Group)이 5월 19일(현지 시각), 북마케도니아 기업 시트록스(Cytrox)가 안드로이드 기기 사용자를 겨냥해 개발한 것으로 널리 알려진 프레데터(Predator) 스파이웨어를 악용한 세 가지 공격 작전을 상세히 설명한 보고서를 공개했다.

2021년 12월, 토론토대학교 산하 연구 기관 시티즌랩(Citizen Lab) 연구팀이 공개한 시트록스 관련 발견 내용을 설명한 보고서와 같이 구글 위협 분석 그룹은 안드로이드 멀웨어를 구매한 국가 산하 해커 조직이 이집트, 아르메니아, 그리스, 마다가스카르, 코트디부아르, 세르비아, 스페인, 인도네시아 등에서 활동한 증거를 발견했다. 이 외에 다른 국가에 프레데터를 구매한 정부 단체나 기관이 더 많을 수도 있다. 프레데터는 그동안 알려지지 않은 안드로이드 취약점 5가지는 물론이고, 이전에 알려졌으며 현재 수정 사항을 설치할 수 있으나 피해자가 패치 작업을 진행하지 않은 결함을 악용한다.

셰인 헌틀리(Shane Huntley) 구글 위협 분석 그룹 총괄은 “감시 공급 생태계와 스파이웨어 판매 방식을 어느 정도 밝혀내는 것이 중요하다. 구글은 스파이웨어 공급사의 악성 툴을 구매하면서 아무 대가 없이 위험한 제로데이를 구매하는 데 지출하는 고객 수를 줄이고자 한다. 규제가 없는 상태에서 스파이웨어 악용 수준을 축소할 방법도 없다면, 직접 더 많은 정보를 조사해야 한다”라고 설명했다.
 
[사진=Unsplash]
[사진=Unsplash]

상업적 스파이웨어 업계는 가치가 높은 제품과 감시 서비스에 접근할 해킹 툴 자체 개발 비용이나 전문 지식이 없는 국가의 정부에 스파이웨어를 판매한다. 이 때문에 억압을 일삼는 정권과 법률 집행 기관이 더 광범위한 영역에서 반정부 인사와 인권 운동가, 언론인, 야당 세력, 시민 등 많은 이들을 감시할 악성 툴을 확보하도록 한다. 그동안 애플의 iOS를 겨냥한 스파이웨어에 관심을 집중했다. 하지만 안드로이드는 전 세계 점유율이 가장 높은 운영체제이며, 그동안 스파이웨어와 비슷한 공격 시도를 직면해왔다.

헌틀리 총괄은 “구글은 사용자를 보호하고, 프레데터와 같은 감시 공격을 최대한 빨리 찾고자 한다. 구글은 언제든지 모든 공격을 발견할 수 있다고 생각하지 않는다. 다만, 악성 공격 세력의 공격 활동 속도를 늦출 수 있다고 생각한다”라고 말했다.

구글 위협 분석 그룹은 현재 다양한 범위에서 대중적으로 알려져 각종 공격 악용 및 감시 툴을 제공하는 감시 목적 악성 프로그램 판매 기업 30여 곳을 추적 중이다. 위협 분석 그룹이 조사한 프레데터 공격 작전 3건은 공격 세력이 안드로이드 사용자에게 표준 URL 단축기를 포함하여 단축한 것처럼 보이는 이메일을 통해 일회성 링크를 전송했다. 세 가지 사례 모두 잠재적 피해자 수십 명을 집중적으로 공격했다. 공격 대상이 된 사용자가 악성 링크를 클릭하면, 사용자가 재빨리 정상적인 웹사이트로 경로를 재지정하기 전 멀웨어를 자동으로 배포하는 악성 페이지로 넘어간다. 해커 세력은 악성 페이지에서 시트록스의 전체 스파이웨어 툴인 프레데터를 게재하도록 설계된 안드로이드 멀웨어인 에일리언(Alien)을 배포한다.

iOS에서 발생한 스파이웨어 공격과 마찬가지로 안드로이드 기기를 겨냥한 공격도 연속으로 일련의 운영체제를 악용해야 한다. 운영체제 개발사는 수정 사항을 배포하면서 스파이웨어 공격망을 무력화하고는 공급사가 새로운 공격이나 변경된 공격 수단을 개발해야 하는 시점으로 돌아가도록 할 수 있다. 그러나 취약점 및 결함 수정이 공격 세력에게 더 큰 어려움을 줄 수는 있으나 상업용 스파이웨어 업계 전체는 여전히 큰돈을 번다.

존 스콧 레일톤(John Scott-Railton) 시티즌랩 수석 연구원은 “NSO 그룹이나 다른 스파이웨어 공급사가 광범위한 전체 생태계의 일부분에 불과하다는 사실을 놓쳐서는 안 된다. 여러 플랫폼과 협력해, 퇴치 대응 시행과 완화 노력을 상업용 스파이웨어 공급사가 계속 활동하기 어렵도록 전체 범위에 적용해야 한다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Spyware Vendors Target Android With Zero-Day Exploits
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다
RECOMMENDED
와이어드 뉴스레터 신청
  • 서울시 마포구 월드컵북로 56길 12 상암동 Trutec 빌딩 6층
  • 대표 전화 : 1833-8910 (평일 오전 9:30~18:30)
  • 팩스 : 02)539 -3968
  • 대표 메일 : wiredkorea@wired.kr
  • 회사명 : ㈜스포티비와이어드
  • 제호 : 와이어드코리아 WIRED Korea
  • 정기간행물 등록번호 : 서울 아 52627
  • 등록일 : 2019-09-30
  • 발행일 : 2019-12-12
  • 청소년보호책임자 : 이상현
  • 청소년보호책임자 : 이상현
  • WIRED Korea의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 와이어드코리아 Wired Korea. All rights reserved.
ND소프트
WIRED Korea 공식 SNS
WIRED Korea Newsletter 구독신청