스마트폰 혁명이 일어나자 기술 업계는 마침내 안전한 컴퓨팅 플랫폼을 구현할 수 있는 두 번째 기회가 왔다고 생각했다. 버그에 시달리는 PC, 취약한 서버와 달리 스마트폰은 완전히 봉쇄할 수도 있고, 맬웨어에 면역 기능을 갖춘 것으로 알려졌기 때문이다.

그러나 스마트폰도 여전히 컴퓨팅 장치이고, 그 사용자는 여전히 사람이다. 이 두 가지 요소는 항상 약한 고리다. 공격자가 주로 어떤 방법을 사용해서 사용자 손 안의 강력한 컴퓨터인 스마트폰에 침입하는지 제대로 알아보기 위해 보안 전문가에게 조언을 구했다.

제로클릭 스파이웨어

스마트폰을 대상으로 한 가장 무섭고 정교한 공격은 사용자의 명확한 개입이 없어도 공격에 성공할 수 있는 제로클릭(zero-click) 공격이다. 노우비4(KnowBe4)의 데이터 기반 방어 에반젤리스트 로저 그라임스는 상업적 감시 기술 업체(CSV)들이 익스플로잇을 무기화하는 방법을 설명했다.

CSV는 맬웨어와 익스플로잇을 최고가 입찰자에게 판매하는 범죄 조직이다. 그라임스는 “현재 발견되는 대부분의 제로데이가 CSV의 소행이며, 특히 휴대전화에서 이 같은 현상이 두드러진다. 2023년에는 다른 방법보다 제로데이가 사람들을 공격하는 데 더 많이 사용됐다고 말했다. 특히 사용자 상호작용이 필요 없는 변종이 위험하다. 그라임스는 “최종 사용자와 아무런 상호작용 없이 제로데이가 실행되는 경우도 있고, 사용자가 단순히 메시지를 읽고 이메일을 열고 첨부 파일을 열거나 링크를 클릭할 때 실행되는 경우도 있다”라고 설명했다.

그라임스는 많은 익스플로잇의 사용법이 백그라운드 푸시 메시지 또는 왓츠앱 메신저에서 문자 보내기만큼 간단하다면서 “사용자가 문자를 보는지 안 보는지는 중요하지 않다. 제로클릭 공격은 일단 접촉만 하면 피해자를 거의 100%를 확보할 수 있다”라고 말했다. 많은 경우 상업적 기술 업체 또는 국가 단위 행위자에 수십~수백만 달러에 판매된다. 그라임스는 “미국과 같이 여력이 충분한 국가 행위자의 경우 수천 개의 제로클릭 공격을 보유하고 있다가 필요할 때 사용한다는 소문이 있다”라고 말했다.

그라임스는 이러한 공격의 상당수가 버퍼 오버플로우와 같이 오랜 기간 정립된 기술에 의존한다면서 “버퍼 오버플로우로 정상적인 프로그램이 악성 코드를 실행할 수도 있다. 받는 사람이 메시지를 열거나 기타 조작할 필요 없이 메시지를 받는 것만으로 익스플로잇이 트리거된다”라고 말했다. 그라임스는 대부분의 현대 익스플로잇은 사용자 상호작용을 필요로 하지만 “대략 15%의 익스플로잇은 기본 서비스나 앱에 ‘도달’하기만 해도 실행된다”라고 지적했다.

ADAM네트웍스(ADAMnetworks)의 CEO 데이비드 레데코프는 제로클릭 공격이 가치가 큰 표적에는 심각하고 지속적인 위협이 되지만 대중을 대상으로 한 공격은 아니라고 강조했다. 일반 사용자는 비교적 기술 수준이 낮은 다양한 공격에 직면한다. 물론 위험하기는 마찬가지다.

소셜 엔지니어링

해커가 디바이스에 침입하는 가장 쉬운 방법은 사용자가 직접 문을 여는 것이다. 물론 말처럼 쉽지는 않은 일이지만 대부분의 소셜 엔지니어링 공격은 이것을 목표로 한다.

스마트폰 운영체제의 보안 체계는 일반적으로 PC나 서버에 비해 더 엄격하고, 애플리케이션 코드는 샌드박스 모드에서 실행되므로 권한 승격을 통해 디바이스를 장악하는 방법이 통하지 않는다. 그러나 이 보안 모델, 즉 코드가 스마트폰 운영체제 또는 스토리지의 보호되는 영역에 액세스하기 위해서는 모바일 사용자의 명확한 확인이 필요한 모델에도 단점은 있다. 바로 팝업 메시지가 많이 뜨고, 대부분의 사람들은 팝업 메시지를 무시하는 데 익숙하다는 점이다.

쿠마(Kuma)의 보안 애널리스트 카탈리노 베가는 “모바일 디바이스의 애플리케이션은 사용자 데이터에 접근하는 무단 앱으로부터 사용자를 보호하기 위해 권한을 분리한다. ‘이 애플리케이션이 귀하의 사진에 접근하도록 허용하시겠습니까?’라고 묻는 메시지가 표시된다. 이 메시지는 곧 익숙하게 느껴진다. 모바일 디바이스의 사용자 환경에서 요청 메시지는 일종의 관문으로, 이 요청을 수락해서 관문을 통과해야 앱의 기능을 이용할 수 있기 때문이다. 결국 대다수 사용자는 앱이 무엇을 요청하든 그냥 허용한다”라고 말했다.

폴리가드(Polyguard)의 CEO이자 공동 창업자인 조슈아 맥켄티는 “조직화된 그룹이 사용하는 새로운 기술 툴이 소셜 엔지니어링 공격의 부활을 이끌고 있다. 예를 들어 다양한 형태의 피싱과 소셜 엔지니어링이 이제 AI로 더욱 강력해졌다. 여기에는 침해로 획득한 신원 데이터를 이용하는 딥페이크, 고도로 개인화된 이메일과 문자 사기가 포함된다”라고 말했다.

악성 광고

사람을 속이는 대화 상자를 생성하는 전통적인 메커니즘 중 하나는 브라우저 또는 앱 내의 모바일 광고 생태계를 위해 개발된 인프라에 편승하는 이른바 악성 광고다.

폴리가드의 CTO이자 공동 창업자인 카뎀 바디얀은 악성 광고에 대해 “차츰 사라지고 있는 고전적 수법”이라면서 “브라우저 샌드박싱의 발전, 더욱 엄격해진 앱 스토어 정책, 전통적인 웹 브라우징에서 앱을 중심으로 한 모바일 사용 형태로의 변화로 인해 악성 광고의 효과는 전보다 훨씬 떨어졌다”라고 말했다.

그러나 ADAM네트웍스의 레데코프는 악성 광고가 사이버범죄 생태계에서 여전히 중요한 구역을 차지하고 있다면서 “구글이 TAG 게시판을 통해 제거된 도메인 수를 정기적으로 보고한다는 점과, 구글이 2024년에 유해한 광고 51억 개를 차단하고 광고주 계정 3,920만 개를 정지했다는 보고서 내용을 감안하면 악성 광고 문제는 여전히 사라지지 않고 있음이 명확하다”라고 말했다.

스미싱

공격자가 피해자에게 탭으로 이동이 가능한 링크를 제시하기 위해 사용하는 또 다른 벡터는 SMS 문자 메시지다. 흔히 SMS 피싱 또는 스미싱이라고 한다.

와이어(Wire)의 CRO인 라스무스 홀스트는 “사이버 범죄자는 의도와 목표에 따라 여러가지 방법으로 SMS 피싱을 사용할 수 있다. 디바이스에 맬웨어를 설치하는 것이 목표라면 일반적으로 파일을 첨부해서 사용자가 해당 파일을 클릭해 다운로드하도록 유도하는 메시지와 함께 보낸다 예를 들어 사이버 범죄자는 고용주나 관리자 등 공격 대상이 신뢰할 만한 사람을 사칭해서 첨부된 문서를 검토하라고 지시하는 메시지를 보내 바쁘고 경계심이 없는 피해자를 함정으로 끌어들인다”라고 말했다.

스미싱은 검증된 해커의 수법이지만 폴리가드의 맥켄티는 “관건은 링크를 ‘클릭 가능하게’ 만드는 것”이라면서 “지난 몇 개월 동안 애플 SMS 링크 방어 시스템에서 여러 취약점 악용이 관측됐다. 구글과 같이 사람들이 신뢰하는 도메인을 통해 악성 링크를 유포하고(AMP 및 구글 사이트 취약점 이용), 거의 사용되지 않는 user:pass@host 형식의 빈 자격 증명을 사용해 ‘기본 인증 보호’ URL에 대한 예외를 이용하는 방식 또는 빈 서브도메인을 둘러싼 파싱 취약점이 있다”라고 말했다.

가짜 앱

또 다른 소셜 엔지니어링 수법은 사용자는 정상적인 앱이라고 생각하지만 사실은 악성인 앱을 다운로드하도록 유도하는 것이다. 맥켄티는 특히 “스마트폰의 카메라, 마이크 또는 위치 정보에 접근할 수 있는 장난감 앱과 게임”의 파괴력이 크다고 지적했다.

스마트폰에는 애플리케이션 코드를 운영체제에서 격리하는 샌드박스 모델이 있기 때문에 이러한 유형의 앱은 “탈옥된”, 즉 사용자가 애플 기준을 충족하지 않는 앱을 설치하기 위해 개조한 아이폰을 표적으로 삼는 경우가 많다. 그러나 NSA에서 수년간 근무했고 현재 모바일 보안 업체 아이베리파이(iVerify)의 공동 창업자로 COO를 맡고 있는 로키 콜에 따르면 그 시절은 거의 끝났다.

콜은 “iOS 모바일 폰 해킹에서 ‘탈옥’이라는 단어는 더 이상 큰 의미를 갖지 않는다. 몇 년 동안 iOS 익스플로잇과 관련된 탈옥은 발견되지 않았다. 실제 iOS 해킹은 매우 정교한 작업으로 대부분 국가 행위자와 상업적 스파이웨어 벤더의 영역이다. 안드로이드의 경우 대부분의 ‘해킹’은 악성 앱을 설치하는 방식인데, 이를 위해 악성 앱을 앱 스토어에 은밀히 올리거나 사용자를 기만해 사이드로딩을 유도하거나 기타 더 정교한 방식으로 실행되도록 한다”라고 말했다.

프리텍스팅(Pretexting)

사용자가 디바이스에 대한 통제 권한을 내놓도록 유도하는 데 실패하는 경우 공격자는 이동통신 제공업체로 공격의 방향을 선회한다. 2000년대 중반 영국에서 미디어 스캔들이 큰 파장을 일으켰다. 타블로이드 신문이 ‘블래깅’이라는 수법으로 유명인과 범죄 피해자들의 휴대전화 음성 사서함에 접근했던 사건이다. 프리텍스팅이라고도 하는 이 수법은 공격자가 피해자의 개인 정보 조각을 충분히 모은 다음 그 사람을 사칭해 통신 서비스 제공업체에 연락해서 계정에 대한 액세스 권한을 얻는다.

당시 타블로이드 신문은 특종을 쫓을 뿐이었지만 범죄자는 이와 동일한 기술을 사용해 더 큰 피해를 입힐 수 있다. 인포섹 인스티튜트(Infosec Institute)의 정보보안 관리자인 아담 콘케는 “공격자는 본인 인증을 무사히 통과하면 통신사에 요청해 피해자의 전화번호를 자신이 소유한 디바이스로 이전하도록 하는데, 이를 SIM 스왑이라고 한다. 그러면 전화, 문자, 액세스 코드(은행이나 금융 서비스 업체가 SMS를 통해 사용자 휴대전화로 보내는 2차 인증 코드 등)가 이제 사용자 본인이 아닌 공격자에게 전달된다”라고 말했다.

스마트폰 물리적 접근

가장 확실하지만 많은 사람이 주의를 기울이지 않는 방법은 해당 디바이스에 물리적으로 접근해서 수동으로 설치하는 방법이다. 이는 가정 폭력이나 스토킹 상황에서 특히 중요하게 봐야 할 수법이지만 기업 스파이 활동에도 사용된다.

폴리가드의 바디얀은 “누군가가 디바이스에 물리적으로 접근할 수 있게 되면 위험의 양상이 완전히 바뀐다”라고 말했다. FlexiSPY, mSpy, Xnspy와 같은 툴은 빠르게 설치해서 몰래 실행할 수 있다. 실행되면 문자 메시지, 통화 로그, GPS 위치를 수집하고 사용자 모르게 마이크나 카메라를 활성화할 수도 있다. 기업 스파이 활동의 경우 악성 구성 프로필(특히 iOS)이나 사이드로딩된 APK(안드로이드)를 배포해 데이터 경로를 변경하거나 네트워크 트래픽을 조작하거나 영구 백도어를 설치할 수 있다. 하드웨어 기반의 위협도 있다. 악성 충전 케이블, 키로거, 데이터를 유출하거나 맬웨어를 주입할 수 있는 이식형 디바이스 등이 여기에 포함된다. 다만 이러한 위협은 가치가 큰 표적을 주로 노리므로 보편적이지는 않다”라고 말했다.

바디얀은 누군가가 내 PIN을 알고 스마트폰에 접근할 수 있다면 생체인식 방어를 우회할 수 있다면서 “공격자는 비밀번호로 디바이스 잠금을 해제한 다음 자신의 지문이나 얼굴 스캔을 추가해서 흔적을 남기지 않고도 지속적인 접근 권한을 확보할 수 있다. 이와 같은 수법에 대비하려면 강력한 디바이스 비밀번호, 생체 인식 제어, 잠긴 상태에서 USB 액세서리 비활성화, 설치된 프로필 및 디바이스 관리 설정에 대한 정기적인 감사를 실행해야 한다”라고 말했다.

침입한 다음에는?

공격자가 위의 수법 중 하나를 사용해서 침입에 성공했다면, 그 다음 단계는 무엇일까?

센코드 사이버시큐리티(Sencode Cybersecurity)의 디렉터인 캘럼 던컨은 스마트폰 OS가 근본적으로 유닉스 계열 시스템에서 파생됐지만 침입에 성공한 공격자는 PC 또는 서버와는 매우 다른 환경에 놓이게 된다고 말했다.

던컨은 “대부분의 앱은 본질적으로 API 호출을 통해 운영체제나 다른 애플리케이션과 접속한다. iOS와 안드로이드의 커널은 태생적 기반인 유닉스 커널과는 너무 달라서 익스플로잇 공유는 거의 불가능하다. iOS와 안드로이드 디바이스에는 모두 명령줄이 존재하지만 최상위 권한으로만 접근할 수 있으며 일반적으로 기기를 루팅 또는 탈옥해야만 접근할 수 있다”라고 말했다.

그러나 어려운 것이지 불가능하지는 않다. 던컨은 “이 유형의 익스플로잇은 분명 존재한다”면서 “권한 승격이 이 프로세스의 핵심이다. 내장된 보안 메커니즘을 우회하기가 어려운 일이지만 사용자 디바이스에서 코드를 실행할 능력을 가진 공격자라면 누구나 실제로 사용자 디바이스에서 코드를 실행한다. 즉, 충분히 영리하다면 결국 디바이스를 원하는 대로 조작할 수 있다. NSO 그룹과 같이 국가 지원을 받는 그룹은 이러한 기법을 사용해 정부 인사와 유명인을 염탐하는 비즈니스 모델을 구축했다”라고 말했다.

콜파이어(Coalfire)의 애플리케이션 보안 센터 디렉터인 케이틀린 요한슨은 디바이스에 침입한 공격자가 접근할 수 있는 민감한 데이터는 놀라울 정도로 많다고 말했다.

“SQLite 같은 데이터 스토어는 설치된 앱에 의해 생성된다. 여기에는 웹 요청과 응답 콘텐츠부터 잠재적으로 민감한 정보와 쿠키에 이르기까지 온갖 정보가 포함될 수 있다. iOS와 안드로이드에서는 메모리 내에 애플리케이션 데이터(인증 자격 증명 등)를 캐싱하거나 실행 중인 애플리케이션의 썸네일이나 스냅샷이 지속되는 약점이 흔히 발견되며, 이 경우 의도치 않게 디바이스에 민감한 정보가 저장될 수 있다. 민감한 정보는 암호화되지 않은 채 브라우저 쿠키 값, 크래시 파일, 환경 설정 파일, 그리고 읽기 쉬운 형식으로 디바이스에 바로 저장되는 웹 캐시 콘텐츠 등에서 자주 발견된다.

요한슨은 “안드로이드의 abd, iOS의 iExplorer, plutil 등 원래는 개발 목적으로 만들어진 툴이 공격자가 데이터를 추출하고 이용하고 수정하는 목적으로도 이용된다. 표준 유틸리티를 사용해서 디바이스에서 복사된 모든 데이터베이스 파일을 검사할 수 있으며, 암호를 해독해야 하는 상황에서는 프리다(Frida)와 같은 툴을 사용해 저장된 값을 해독하는 스크립트를 실행할 수 있다”라고 말했다.

가장 큰 위험은 방심

이 중에서 쉬운 일은 없다. 대부분의 사용자는 스미싱 링크를 클릭하지 않으며 수상한 애플리케이션에 높은 권한을 함부로 부여하지도 않는다. 해커가 디바이스에 침투하더라도 해킹한 스마트폰에 내장된 보안 대책에 가로막히는 경우가 많다.

그러나 공격자들에게는 한 가지 유리한 점이 있다. 바로 확고한 의지다. 룩아웃(Lookout)의 제품 마케팅 디렉터인 행크 슐리스는 “공격자는 모바일 앱이나 새로운 운영체제 버전의 모든 측면을 세세하게 조사하는 고도로 반복 가능하고 자동화된 모델을 만든다. 이들은 악용 가능한 약점을 발견하면 수정 버전이 나오기 전에 최대한 빠르게 이를 이용하려 한다”라고 말했다.

가장 큰 취약점은 인간의 안일함일 것이다. 많은 사람들은 10년 이상 그 반대임을 입증하는 증거가 나왔음에도 불구하고 스마트폰은 정보보안의 다른 영역과는 다르게 안전하다고 생각한다. 아이베리파이의 콜은 “전화기는 전통적인 엔드포인트가 아니라는 인식이 여전히 뿌리깊어서 대부분의 경우 데스크톱과 같은 다른 디바이스에 대한 표준과 관행을 적용하지 않는다. 모바일 보안을 더 이상 틈새 영역으로 취급하거나 자체 해결 방식으로 대응해서는 안 된다. 모든 포괄적인 엔드포인트 탐지 및 대응 전략에 모바일 보안도 포함돼야 한다”라고 말했다.
dl-itworldkorea@foundryco.com