해외에서 유행하고 있는 정상앱을 리패키징해 악성앱 기능을 추가하는 방식이 국내에도 발견돼 피해가 우려되는 상황이다. 실제 2013년 2월 18일 국내에 정식 출시된 "맥도날드 맥모닝 알람 앱"을 리패키징한 사례가 최초 발견됐다. 이 악성앱은 실제 정상앱 처럼 문제없이 작동한다. 그렇기 때문에 이용자는 자신이 악성앱에 노출되었다는 것 자체를 인지하기 어렵다.

 
잉카인터넷 대응팀 관계자는 “이번 신호탄을 계기로 정상앱을 리패키징한 악성앱이 국내에도 증가될 우려가 커진만큼 이용자들의 철저한 주의가 필요하다. 특히, 정상앱을 변조하는 경우 스미싱 수법 뿐만 아니라, 인터넷 웹 커뮤니티를 통한 다양한 유통이 가능해지기 때문에 신속한 탐지와 차단이 어렵고, 잠재적 위협요소로 이어질 수 있다”며 “이처럼 모바일 범죄자들은 언제든지 유출된 개인정보와 명의를 도용해 악성앱과 결합시킨 새로운 범행을 저지를 수 있다는 점에서 만반의 대비태세가 필요하다”고 당부했다.
 
또 “혹시 이와 유사한 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭해 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주면 분석 후에 신속하게 변종여부 등의 결과를 통보하고 nProtect Mobile for Android 제품에 치료 기능을 추가하도록 하겠다”고 덧붙였다.  
 
◇nProtect Mobile for Android 다운로드 URL
-play.google.com/store/apps/details?id=com.inca.nprotect
 
◇한국형 안드로이드 악성앱 리패키징 이상징후
스미싱 소액결제사기 범죄가 우후죽순으로 급증하고 있는 가운데 3월 8일 새로운 종류가 발견되었다. 이번 소액결제사기용 악성앱은 맥모닝 알람앱 처럼 사칭하고 있으며, 정상앱의 기능을 그대로 보여주기 때문에 이용자는 쉽게 현혹되며, 자신이 악성앱에 감염된 사실도 모른채 소액결제사기 최대 30만원 정도의 피해를 입을 수 있어 주위해야 한다.  
 
문자메시지(SMS)를 통한 다단계 스미싱 사기가 기하급수적으로 늘어나면서 금전적인 피해도 비례적으로 증가하는 추세이다. 자칫 호기심과 스미싱 문자에 현혹되어 심각한 피해를 입을 수 있다는 점을 명심해야 한다.
 
이번에 새롭게 발견된 악성앱은 아래와 같이 마치 맥도날드에서 무료커피 쿠폰을 주는 모바일 알람 앱으로 사칭하여 사용자를 유혹하며, 단축URL 서비스를 통해 소액결제사기용 악성앱(KRSpammer) 설치를 유도하게 된다.
 
<발신번호 사칭 : 02-1544-5553
 ★ 맥 도 날 드 ★ 무 료 커 피 쿠폰 주는 모바일 알람 앱 http://***********>
 
스미싱 문자메시지에 포함되어 있는 인터넷 주소를 클릭할 경우 "my.apk" 파일이 다운로드된다.
 
맥모닝으로 위장한 악성파일은 겉으로 보기에는 정상앱과 거의 똑같기 때문에 육안상으로 악성여부를 구분하기는 어렵다. 다만, 악성앱이 파일용량에서 사이즈가 다소 크다는 것을 비교해 볼 수는 있다.
 
다운로드 완료된 파일을 사용자가 클릭해 설치를 시작하면 설치권한 화면을 보게 된다.
[설치]버튼을 누르고 설치가 완료되면, 스마트폰 바탕화면에 "맥모닝알람"이라는 이름과 아이콘이 생성된다. 악성앱은 정상앱 기능을 모두 도용해서 사용하였기 때문에 앱의 모든 기능은 정상적으로 작동되며, 저작권 위반에 해당되기도 한다.
 
사용자가 해당 앱을 실행하면 정상적인 맥모닝 알람 프로그램이 실행되고, 사용자는 정상앱 설치로 인식하게 되지만, 악성앱은 은밀하게 악의적인 소액결제사기 행위를 수행하게 된다.
 
대부분의 스미싱 악성앱은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 앱으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 앱이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있다는 점을 기억해 두는 것이 좋다.
 
◇스미싱 피해 예방법
스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 nProtect Mobile for Android 제품을 이용해서 진단 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.
 
만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고 있다.
 
악성앱이 설치되었을 경우에는 신속하게 삭제조치하거나 아이콘을 숨기는 경우도 존재하여 육안으로 파악하기 어려운 경우도 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수행해 보는 것도 좋다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com