글에 대한 이해를 돕기 위해 AI툴로 제작한 사진.
당신의 은행 앱이 위험하다. 아니, 정확히는 은행 앱처럼 보이는 무언가가 당신의 돈을 노린다.
한 남성이 스마트폰으로 문자메시지를 확인했다. 법원 소환장이라는 내용이었다. 링크를 눌렀다. 앱을 설치했다. 그게 끝이었다. 그의 은행 계좌에서 돈이 빠져나가기 시작했다. 우즈베키스탄에서 실제로 벌어진 일이다.
피해 남성을 덫에 빠뜨린 건 '원더랜드'라는 이름의 안드로이드 악성코드다. 단순히 정보를 훔치는 수준을 넘어섰다. 실시간으로 해커가 당신의 휴대폰을 조종한다. 문자를 읽고, 일회용 비밀번호를 가로채고, 알림을 숨기고, 심지어 당신 폰으로 문자를 보낸다.
원더랜드는 처음부터 악성코드처럼 보이지 않는다. 정상적인 앱으로 위장한 '드로퍼'라는 방식을 쓴다. 플레이 스토어처럼 보이는 가짜 웹페이지, SNS 광고, 데이팅 앱 계정을 통해 퍼진다. 설치하면 겉으론 멀쩡해 보인다. 하지만 내부엔 암호화된 악성 프로그램이 숨어 있다. 인터넷 연결 없이도 작동한다. 보안 점검을 피해간다.
해커들은 텔레그램을 본거지로 삼았다. 다크웹에서 우즈베크인들의 탈취된 텔레그램 계정을 산다. 그 계정의 연락처 전체에 악성 앱을 뿌린다. 친구가 보낸 것처럼 보이니 사람들은 의심 없이 설치한다.
가장 무서운 건 양방향 통신이다. 과거 악성코드는 정보를 빼가기만 했다. 원더랜드는 다르다. 웹소켓 프로토콜로 해커와 실시간 연결된다. 해커가 명령을 내리면 즉시 실행된다. 은행 인증을 우회하고, 자금을 빼가고, 감염된 기기를 또 다른 공격 거점으로 만든다.
보안 연구팀에 따르면 원더랜드를 운영하는 범죄 조직은 올해만 200만 달러(약 29억 원) 이상을 벌어들였다. 이들은 개발자, 운영자, 검증자로 나뉜 조직적 구조를 갖췄다. 텔레그램 봇이 악성코드를 자동 생성한다. 일꾼들이 이를 유포하고 훔친 돈을 나눠 갖는다.
원더랜드만이 아니다. 최근 안드로이드 OS를 겨냥한 악성코드가 급증하고 있다. 셀릭, 프로그블라이트, 넥서스루트 같은 이름들이 속속 등장한다.
셀릭은 다크웹에서 한 달 150달러, 평생 이용권 900달러에 판매된다. 실시간 화면 녹화, 키 입력 기록, 원격 카메라·마이크 접근, 데이터 삭제 기능을 갖췄다. 가장 위협적인 건 원클릭 APK 제작 기능이다. 플레이 스토어에 있는 정상 앱을 선택하면 악성코드가 자동으로 삽입된다. 겉보기엔 멀쩡한 앱이다. 기능도 그대로 작동한다. 하지만 뒤에선 해커에게 모든 걸 전송한다.
프로그블라이트는 터키를 겨냥했다. 법원 문서나 정부 지원금 안내를 가장한 문자로 퍼진다. 피해자가 링크를 누르면 정부 웹사이트처럼 보이는 화면이 뜬다. 은행 로그인을 시도하면 자바스크립트 코드가 입력 내용을 모두 기록한다. 연락처, 통화 기록, 설치된 앱 목록까지 빼간다. 지난 9월 내내 기능이 추가됐다. 연구진은 이 악성코드가 서비스형 악성코드(MaaS) 모델로 판매될 것으로 본다.
넥서스루트는 인도 정부 서비스를 사칭한다. 깃허브 저장소에 악성 APK를 올려놓고 가짜 정부 사이트에서 유포한다. 휴대전화 번호, 차량 정보, UPI 핀, 일회용 비밀번호, 카드 정보를 훔친다. 접근성 서비스를 악용해 방대한 데이터를 수집한다.
보안 전문가들은 이런 흐름을 단순한 기술 진화로 보지 않는다. 안드로이드 해킹이 완전히 산업화됐다는 신호다. 기술이 없는 범죄자도 쉽게 대규모 공격을 벌일 수 있게 됐다. 악성코드를 만드는 사람, 파는 사람, 쓰는 사람이 분업화됐다. 범죄 생태계가 구축됐다.
예전엔 명백히 수상한 앱이 많았다. 지금은 다르다. 정상 앱과 구분이 안 된다. 기능도 똑같이 작동한다. 보안 점검을 통과한다. 사용자가 알아챌 방법이 거의 없다.
전문가들은 몇 가지 방법을 권한다. 출처 불명 앱은 절대 설치하지 말 것. 문자로 온 링크는 누르지 말 것. 앱 권한을 꼼꼼히 확인할 것. 간단한 파일 뷰어가 문자 메시지 관리 권한을 요구한다면 의심해야 한다. 문자 기반 일회용 비밀번호 대신 하드웨어 토큰이나 앱 기반 인증을 쓸 것.
하지만 이런 조언에도 한계가 있다. 공격자들은 계속 진화한다. 앱 이름을 매일 바꾼다. 패키지 식별자를 돌려 쓴다. 명칭 기반 탐지는 무용지물이다. 코드는 고도로 난독화됐다. 분석하는 데 엄청난 시간이 걸린다. 명령 제어 서버는 계속 도메인을 바꾼다.
올 들어 셀릭, 프로그블라이트, 넥서스루트 같은 새로운 악성코드 가족이 속속 등장하며 안드로이드 악성코드는 더욱 정교해지고 있다. 전문가들은 이 추세가 내년에도 계속될 것으로 본다. 별개로 작동하던 공격 캠페인들이 도구와 기술, 인프라를 통합하고 있다. 더 강력하고 탐지하기 어려운 위협이 된다.
스마트폰엔 은행 앱이 있다. 사진이 있다. 연락처가 있다. 문자 메시지가 있다. 당신의 모든 것이 들어 있다. 해커들도 그걸 안다. 그래서 노린다. 한 번의 클릭으로 모든 게 털린다. 돈도, 정보도, 프라이버시도.
문제는 이게 먼 나라 얘기가 아니라는 점이다. 원더랜드는 우즈베키스탄에서 시작했지만 기술엔 국경이 없다. 프로그블라이트는 터키를 겨냥했지만 어디서든 통하는 방식이다. 넥서스루트는 인도를 노렸지만 같은 수법이 한국에서도 쓰일 수 있다.
친구가 보낸 것처럼 보이는 메시지, 정부에서 보낸 것처럼 보이는 알림, 은행에서 보낸 것처럼 보이는 링크. 모두 당신을 노리는 덫일 수 있다. 클릭하기 전에 한 번 더 생각해야 한다. 그게 진짜인지 가짜인지.
Copyright ⓒ 위키트리 무단 전재 및 재배포 금지
