본문 내용 바로가기 주메뉴 바로가기

개인정보침해예방

  • 스크랩
  • 여러분의 소중한 개인정보를 보호할 수 있도록 개인정보 침해사례 및 신종 사이버공격
    사례 등에 관한 정보를 신속하게 안내합니다.
    ·개인정보보호 종합안내(https://www.privacy.go.kr), 개인정보 침해 신고·문의 : 118
개인정보침해예방상세조회 테이블
모바일까지 눈독 들이는 랜섬웨어를 막아라!
작성자 최지연 작성일 2016-02-29

모바일까지 눈독 들이는 랜섬웨어를 막아라!

  • AhnLab
  • 2016-02-01

2015년 보안 업계의 화두는 단연 ‘랜섬웨어’였다. 안랩을 비롯한 많은 보안 업체들은 2016년에도 랜섬웨어의 광풍이 지속될 것으로 전망하고 있다. 특히, 스마트폰 사용자를 대상으로 한 모바일 랜섬웨어도 주의 대상이다. 다행이 아직까지 국내에서는 모바일 랜섬웨어 감염이 확인된 바 없다. 그러나 PC 랜섬웨어도 해외에서 활발히 활동하다 한국에 등장했다. 모바일 랜섬웨어도 현재 급격한 증가추세를 보이고 있으므로, 이에 대한 주의와 관심이 필요하다.

이 글에서는 모바일 랜섬웨어의 유포 방법, 특징, 수동 제거 방법, 예방법에 대해 자세히 살펴본다. 

 

어느 날 갑자기 스마트폰이 잠겨버려 더 이상 아무것도 할 수 없게 되는 일을 상상해본 적이 있는가? 스마트폰의 잠금 화면 비밀번호를 잃어버려서가 아니다. 스마트폰이 고장 난 것은 더더욱 아니다. 스마트폰을 대상으로 하는 랜섬웨어에 감염됐을 때 일어날 수 있는 일이다.

 

[그림 1] 랜섬웨어에 감염된 스마트폰

 

모바일 랜섬웨어에 감염되면 스마트폰을 이용하는데 큰 제한이 생기거나 제거하기 전까지 스마트폰을 사용하지 못하게 될 수 있다. 랜섬웨어에 따라 스마트폰에 저장된 파일을 암호화하거나 삭제해버리기도 한다. 대부분의 랜섬웨어는 스마트폰의 ‘기기 관리자’로 등록되고 삭제를 방지하는 기능들을 포함하고 있어 제거도 어렵다. 심지어 스마트폰을 공장 초기화해야만 치료가 가능한 경우도 있다.

이처럼 랜섬웨어에 감염되면 지금 내 손에 스마트폰이 쥐어져 있음에도 불구하고 랜섬웨어 혹은 해커에게 스마트폰과 내 정보를 고스란히 인질로 내주는 꼴이 된다.

최근 전 세계적으로 PC 기반 랜섬웨어가 많이 유포되어 많은 피해가 발생하고 있는데 모바일 역시 랜섬웨어의 주요 타깃이 되고 있다. 최근 통계를 보면, 2015년 3분기까지 발견된 모바일 랜섬웨어는 2014년 대비 약 8.8배 증가했다.

 

[그림 2] 모바일 랜섬웨어 연간 통계

 

현재까지 모바일 랜섬웨어는 PC 기반 랜섬웨어와 달리 한국을 대상으로 하는 것은 보고된 바가 없고 주로 동유럽권 국가와 중국 등을 대상으로만 활동하고 있다. 그러나 한국에서만 사용되는 앱의 아이콘을 도용하고 화면을 점유해 스마트폰을 사용할 수 없게 만드는 ‘Android-Trojan/Blocker’가 발견된 바가 있고 화면 잠금에 이어 금전을 요구하면 바로 랜섬웨어가 되는 것이므로 국내 또한 모바일 랜섬웨어 안전지대라 할 수 없다.

 

[그림 3] Android-Trojan/Blocker 아이콘

 

[그림 4] Android-Trojan/Blocker 감염 화면

 

갈수록 증가하는 모바일 랜섬웨어 위협에 대응하기 위해 랜섬웨어가 어떤 방법으로 유포되는지 알아보고 최근까지 발견된 모바일 랜섬웨어를 유형별로 자세히 살펴보자. 또한, 랜섬웨어에 감염되었을 경우 대처하기 위한 수동 제거 방법과 랜섬웨어 피해 예방법도 알아보도록 한다.

 

모바일 랜섬웨어 유포 방법

 

현재까지 한국을 대상으로 하는 모바일 랜섬웨어는 보고된 바 없으며 주로 동유럽, 영어권 국가, 중국 등의 국가에서 피해가 발생하고 있다. 하지만 아직까지 국내 모바일 랜섬웨어 위협이 뚜렷하게 없다고 해서 안심할 건 아니다. 유포 자체가 인터넷이나 SMS 등으로 이뤄지기 때문에 사실 인터넷에 연결된 누구라도 피해자가 될 수 있다. 지금부터 알려진 모바일 랜섬웨어 유포 방법에 대해 좀 더 자세히 알아보자.

 

1. 성인물 사이트를 통한 다운로드

성인물 사이트는 모바일 랜섬웨어 유포에 흔히 사용된다. 공격자는 성인물 사이트에서 성인 앱을 위장한 모바일 랜섬웨어 다운로드를 유도한다. 앱이 자동으로 설치되지는 않으며 다운로드 된 APK 파일을 터치할 경우 앱 설치 화면으로 넘어간다. 설치 완료와 동시에 기기 관리자 권한 획득을 시도하며, 이후에 바로 랜섬웨어 기능을 시작한다.

 

2. 블랙마켓을 통한 다운로드

[그림 5] 모바일 랜섬웨어가 애용하는 아이콘

 

 

[그림 6] 안드로이드 블랙 마켓

 

[그림 4]는 모바일 랜섬웨어가 주로 위장하는 앱의 아이콘을 나타낸 것이다. 어도비 플래시 플레이어, 안티바이러스 앱, 유명 게임 아이콘, 비디오 플레이어, 안드로이드 시스템 아이콘 등을 주로 이용한다. 공격자는 이런 사용자 접근성이 높은 앱으로 위장한 랜섬웨어를 블랙마켓에 업로드한 뒤 다운로드를 유도한다.

 

3. SMS/MMS를 이용한 피싱

플래시 플레이어 업데이트 또는 금융기관 등을 사칭하며 랜섬웨어 다운로드 링크를 포함한 SMS나 MMS를 유포한다. 다운로드 링크를 클릭하면 자동으로 다운로드 되며 마찬가지로 다운로드한 파일을 터치하면 설치가 시작된다.

 

지금까지 모바일 랜섬웨어가 유포되는 방법을 살펴보았다. 다양한 랜섬웨어가 발견되었으나 유포 방법은 기존 악성앱이 사용하는 방식과 크게 다르지 않으며, 대상을 랜섬웨어로 좁혀 보면 오히려 유사한 점들이 많다. 특히 성인앱을 위장한 유포 방법은 모바일 랜섬웨어에서 두드러지게 나타난다.

 

이제부터 모바일 랜섬웨어의 유형을 살펴보며 어떤 방법으로 스마트폰을 사용 불가능하게 만드는지, 어떤 방법으로 사용자를 속이고 협박하는지 자세히 알아보도록 하자.

 

모바일 랜섬웨어의 유형별 기능 및 특징

 

1. 심플락(Android-Trojan/Simplelock)

심플락(Android-Trojan/Simplelock)은 사용자의 스마트폰을 사용 불가능 상태로 만들고 사용자를 협박해 몸값을 요구하는 랜섬웨어다. 포르노 앱을 사칭해 설치를 유도하며 설치된 이후에는 사용자를 협박해 돈을 요구하는 화면을 계속해서 단말에 표시해 사용자의 스마트폰 사용을 방해한다. 설치 시 [그림 7]과 같이 안드로이드 시스템 관련 권한을 요구한다.

 

[그림 7] Android-Trojan/Simplelock 설치 시 요구 권한

 

설치 후 실행하면 [그림 8]과 같이 아동 포르노를 시청했다는 내용으로 사용자를 협박하고 이를 해결하기 위해서는 500루블을 보낼 것을 요구한다. 사용자를 협박하는 화면을 항상 화면의 최상단에 표시되어 모든 화면을 가려 버리기 때문에 다른 앱을 실행하거나 메시지 확인 등을 할 수 없어 스마트폰을 정상적으로 사용할 수 없게 된다.

 

[그림 8] Android-Trojan/Simplelock 실행 화면

 

2. 슬로커(Android-Trojan/Slocker)

슬로커(Android-Trojan/Slocker)는 심플락과 마찬가지로 사용자의 스마트폰을 사용 불가능 상태로 만들고 사용자의 스마트폰에 음란물이 발견됐다고 협박해 금전을 요구하는 랜섬웨어다.

설치 과정을 살펴보면 [그림 9(좌)]와 같이 안드로이드 시스템에 관련된 권한을 다수 요구하는 것을 알 수 있다.

설치가 완료되면 [그림 9(우)]와 같은 기기 관리자 권한을 요구한다. 즉, 화면을 잠그거나 최대 잠금 시간을 조정할 수 있는 안드로이드 시스템 보안과 관련된 권한을 요구한다.  

 

[그림 9] Android-Trojan/Slocker 설치 시 요구 권한(좌) / 기기 관리자 권한 요구(우)

 

실행하면 [그림 10]과 같이 음란물을 시청했다며 잠금 상태를 해제하려면 36시간 이내 500루블을 지불하라는 러시아로 된 안내문이 나온다. 이 때 공격자는 안드로이드 창 속성을 설정하는 플래그(flags)와 포맷(format) 등을 조정하여 항상 가장 위에 보이도록 설정한다. 따라서 다른 앱의 화면을 모두 가려 스마트폰을 정상적으로 사용할 수 없게 된다.

 

[그림 10] Android-Trojan/Slocker 실행 화면

 

3. 콜러(Android-Trojan/Koler)

콜러(Android-Trojan/Koler)는 포르노 앱을 사칭하는 랜섬웨어다. 설치 후 잠금 화면 비밀번호를 무작위로 설정하는 점과 전면 카메라를 사용하여 사진을 찍은 다음 협박에 이용하는 점이 특징이다. 다른 랜섬웨어와 마찬가지로 스마트폰을 사용 불가능 상태로 만들고 금전을 요구한다. 설치과정을 살펴보면 [그림 11]과 같이 다수의 시스템 관련 권한을 요구한다.    

 

[그림 11] Android-Trojan/Koler 설치 시 요구 권한

 

특히 스마트폰에 저장된 개인정보와 시스템 정보를 사용할 수 있는 권한도 요구하는 것을 확인할 수 있다.

실행하면 [그림 12]과 같이 설치 과정의 한 부분인 것처럼 사용자를 속이고 기기 관리자 권한을 획득한다.    

 

[그림 12] 기기 관리자 권한 획득을 위한 가짜 창

 

이렇게 기기 관리자 권한을 획득하면 [그림 13]과 같이 미국 연방 수사국(Federal Bureau of Investigation,FBI)을 사칭하며 음란물이 스마트폰 내부에서 발견되었다고 보여주고, 이를 해결하고 스마트폰 잠금을 해제하기 위해서는 페이팔(PayPal)을 통해 500달러를 송금하라고 협박한다.    

 

 [그림 13] Android-Trojan/Koler 실행 화면

 

특히, 사용자의 스마트폰 카메라를 이용하여 현재 사용자의 모습을 사진으로 찍어 보여주고 불법적인 콘텐츠 및 사용 기록을 확보했다고 안내하여 사용자의 불안감을 극대화 시킨다.

또한 공격자는 코드를 이용하여 스마트폰의 기본 잠금 화면 비밀번호를 임의의 숫자로 변경하고 현재 보이는 화면을 항상 가장 위에 나타나도록 하여 스마트폰을 정상적으로 사용할 수 없도록 만든다.

 

4. 크로세이트(Android-Trojan/Crosate)

크로세이트(Android-Trojan/Crosate)는 주로 어도비 플래시 플레이어를 사칭하여 설치를 유도하는 것이 특징이다. 다른 랜섬웨어와 마찬자기로 스마트폰을 사용 불가능 상태로 만들고 협박하여 몸값을 요구하는 기능이 있다. 설치 시 [그림 14]과 같은 권한을 요구한다.  

 

[그림 14] Android-Trojan/Crosate 설치 시 요구 권한

 

실행하면 [그림 15]와 같이 앱을 정상적으로 사용하기 위해 관리자 권한이 반드시 필요한 것처럼 안내하며 관리자 권한 획득을 시도한다. 특히 OK 버튼 외의 다른 영역은 터치되지 않는다. 기기 관리자 등록 취소 버튼을 눌러도 다시 창을 띄우기 때문에 기기 관리자를 등록하지 않아도 스마트폰을 정상적으로 사용할 수 없다.  

 

[그림 15] 기기 관리자 권한 요구

 

관리자 권한을 획득하면 [그림 16]와 같이 스마트폰을 검사하는 듯한 창을 띄우고 몇 가지 위반 사항과 금지된 콘텐츠를 찾았다고 화면에 표시한다. 잠시 후 [그림 17]처럼 미국 연방 수사국을 사칭하여 특정 법률을 위반했다며, 스마트폰에서 찾은 위반 사항을 보여주며 머니팩(MoneyPak, 해외에서 사용되는 전자화폐)을 통하여 벌금 200달러를 보내라고 협박한다.

 

[그림 16] 스마트폰 검사 위장 

 

[그림 17] FBI를 사칭하며 벌금 200달러 송금 요구

 

삭제하기 위해 기기 관리자 해제를 진행하면 [그림 18]과 같이 스마트폰의 모든 데이터가 삭제된다고 경고하며 삭제를 방해한다.  

 

[그림 18] 기기 관리자 해제 방해

 

5. 에스브이팽(Android-Trojan/Svpeng)

에스브이팽(Android-Trojan/Svpeng)은 특정 앱 동작 시 가짜 정보 입력창을 팝업시켜 정보를 탈취하는 악성앱으로 랜섬웨어는 아니다. 하지만 기기 관리자 등록을 요구할 때 나타나는 화면과 해제를 방해하는 기능이 먼저 살펴보았던 크록세이트(Android-Trojan/Crosate)와 매우 유사하다. 다른 랜섬웨어와 유사하게 [그림 19]와 같이 많은 권한을 요구한다.  

 

[그림 19] Android-Trojan/Svpeng 설치 시 요구 권한

 

실행하면 [그림 20]과 같이 앱을 정상적으로 실행하는데 꼭 필요한 것처럼 사용자를 속여 기기 관리자 권한을 요구한다. OK 버튼 외의 다른 공간은 터치되지 않는다. 기기 관리자 등록 취소 버튼을 눌러도 다시 창을 띄우기 때문에 기기 관리자를 등록하지 않으면 스마트폰을 사용할 수 없다. 실행 후엔 자신을 실행할 수 있는 아이콘을 숨겨 존재 사실을 은폐한다.    

 

[그림 20] 관리자 권한 요구

 

공격자는 코드를 이용해 통해 [그림 21]과 같이 현재 동작 중인 최상위 앱이 구글의 플레이스토어인 경우 구글 플레이스토어 가짜 결제 창을 실행시킨다. 우크라이나 금융 앱이 실행되어 있을 경우에는 해당 금융 앱을 통해 결제할 때 필요한 정보를 입력받을 수 있는 가짜 창을 실행시킨다.  

 

[그림 21] 구글플레이 사칭(좌) / 우크라이나 금융앱 privatbank 사칭(우)

 

사용자가 삭제를 위해 기기 관리자 등록을 해제하려고 하면 시스템 앱은 제거될 수 없다는 안내 창을 보여주거나 스마트폰의 모든 데이터가 초기화된다고 협박하는 등 다양한 방법을 통해 이를 방해한다([그림 22] 참조).

 

[그림 22] 기기관리자 해제 방해

 

6. 지모(Android-Trojan/Jimo)

지모(Android-Trojan/Jimo)는 금전적인 요구는 하지 않기 때문에 랜섬웨어는 아니지만 랜섬웨어처럼 화면을 잠궈 정상적인 사용을 방해하는 락커류의 악성앱이다. 설치 시 [그림 23]과 같은 권한을 요구하며 락커류에 꼭 필요한 “다른 앱 위에 그리기” 권한을 요구한다.

 

[그림 23] Android-Trojan/Jimo 설치 시 요구 권한

 

실행되면 [그림 24]과 같이 아래 버튼을 1,000번 클릭하라는 지시 내용과 함께 화면 중앙에 버튼이 나타난다. 화면상의 버튼 외 다른 부분은 터치가 불가능하다. 1,000번을 클릭하면 터치는 할 수 있게 되지만 화면을 껐다 켜거나 홈 버튼을 누르면 재동작하여 1,000번을 클릭하라는 메시지가 다시 나타나게 된다.

 

[그림 24] Android-Trojan/Jimo 실행 화면

 

7. 와이프락커(Android-Trojan/WipeLocker)

와이프락커(Android-Trojan/WipeLocker)는 금전적 요구는 하지 않는 락커류의 악성앱이다. 스마트폰에 저장된 모든 데이터를 삭제하여 정상적으로 스마트폰을 사용할 수 없게 만든다.

유명한 게임 등을 사칭하여 사용자의 설치를 유도하는데 [그림 25]과 같이 SMS/MMS에 관한 권한과 내장 메모리 데이터에 접근하여 수정하고 삭제할 수 있는 권한을 요구한다.

 

[그림 25] Android-Trojan/WipeLocker 설치 시 요구 권한

 

실행 시 [그림 26]과 같이 정상적인 설치를 보장하기 위해서는 기기 관리자 권한이 필요하다고 주장하며 해당 기기 관리자 권한을 얻을 때까지 지속적으로 권한을 요구하는 창을 실행시킨다.

 

[그림 26] 기기 관리자 권한 요구

 

기기 관리자 권한을 얻은 후에는 스마트폰에서 접근할 수 있는 저장소를 검색하여 검색된 모든 파일을 삭제한다. 이렇게 삭제되는 데이터 중에는 그 동안 사용자의 사진이나 동영상 데이터는 물론, 앱에서 생성한 각종 데이터도 포함된다. 또한 사용자의 개인정보도 외부로 유출한다.

 

지금까지 랜섬웨어, 락커류 악성앱의 기능과 특징을 알아보았다. 모바일 랜섬웨어는 기기 관리자 권한을 요구하며, 이는 기기 관리자에 등록하여 삭제를 어렵게 하기 위함으로 분석된다.

 

랜섬웨어 삭제 방법

랜섬웨어가 스마트폰에 설치되어 기기 관리자 권한을 얻은 경우 설치된 악성앱이 기기 관리자 권한으로 화면으로 들어가는 것을 방해하기 때문에 일반적인 방법으로는 랜섬웨어를 삭제할 수 없다. 이런 유형의 악성앱이 스마트폰에 설치된 후 백신에 탐지되더라도 정상적인 삭제를 위해서는 기기 관리자를 해제해야 하는데, 설치된 악성앱이 기기 관리자 접근을 방해하기 때문에 정상적인 삭제가 어렵다. 백신에 의해 탐지되더라도 기기 관리자를 해제할 수 없어 삭제를 할 수 없는 경우에는 수동으로 악성앱을 삭제해야 한다.

이 글에서는 랜섬웨어와 같이 일반적인 방법으로 삭제가 어려운 악성앱을 삭제하는 방법을 알아본다.

 

1. 안전모드를 이용한 악성앱 삭제

악성앱을 삭제하는 손쉬운 방법은 스마트폰을 안전모드로 부팅한 후 삭제하는 것이다. 안드로이드 스마트폰을 안전모드로 부팅하는 방법은 제조사와 스마트폰 모델별로 다를 수 있으나 일반적으로 안드로이드 4.1 젤리빈 이상의 버전에서는 2가지 방법을 이용해 안전모드 부팅을 할 수 있다.

 

스마트폰이 켜진 상태에서 전원버튼을 길게 누른다. 휴대폰 옵션(“전원 끄기”, “전원 끄고 다시 시작”, ”비행기 모드 설정하기”등의 메뉴가 화면에 보인다. 휴대폰 옵션에서 전원 끄기를 2초이상 누르고 있으면 안전모드로 부팅 메뉴를 볼 수 있다.

 


[그림 27] 켜진 상태에서 안전모드 부팅 방법

 

두 번째는 종료된 스마트폰을 부팅하는 동안 볼륨 낮추는 버튼을 길게 누르는 방법이다. 이 방법을 이용해 안전모드로 진입할 수 있다. 부팅 후에는 [그림 28]과 같이 화면 왼쪽 아래에 안전모드라는 표시가 나타나며 런처에 서드파티(3rd-party)앱(다운로드 받은 앱)의 아이콘이 회색으로 보이거나 버전에 따라 아이콘이 보이지 않는다. 이때는 아이콘을 터치해 앱을 실행하려해도 실행되지 않는다.

 


[그림 28] 안전모드

 

안드로이드 스마트폰의 안전모드는 최소한의 드라이버를 이용해 시스템을 구성한 후 부팅하는 윈도우에서의 안전모드와 유사하다. 안전모드로 부팅된 경우 애플리케이션 중 서드파티 앱을 사용하지 않도록 하고 시스템을 부팅하기 때문에 많은 경우 기기 관리자를 해제하고 악성코드 삭제를 삭제할 수 있다.

 

2. 안전모드에서도 동작하는 악성앱 삭제

일부 악성코드는 안전모드로 부팅하더라도 기기 관리자 해제를 방해한다. 이런 악성앱을 삭제하기 위해서는 악성앱의 패키지명을 확인해 'adb'로 실행 중인 악성앱을 강제 종료하고 삭제해야 한다. adb를 스마트폰에 연결하기 위해 드라이버를 설치하고 스마트폰의 설정을 변경하는 방법은 이 글에서는 다루지 않는다.

 

2.1 악성앱 패키지명 확인

실행중인 악성코드를 종료하기 위해서는 adb shell 명령인 'am force-stop'을 이용해야 한다. 'am force-stop'은 패키지명을 활용해야 하기 때문에 먼저 악성앱의 패키지명을 알아야 하는데 패키지명은 백신의 진단 결과나 'pm list-packages' 명령을 이용해 확인할 수 있다.

 


[그림 29] V3의 악성앱 진단결과

 

[그림 29]에 표시된 경로를 보면 “/data/app/content.bully-1.apk”에서 파일 경로인 “/data/app/ “와 -1.apk”를 제외한 “content.bully”가 진단된 악성앱의 패키지 명이다.

 

2.2 실행 중인 악성앱 프로세스 종료

adb shell 명령 중 'am force-stop [패키지명]' 명령은 실행 중인 프로세스를 종료한다. 이 명령을 이용하면 기기 관리자 해제 창 접근 시 악성앱이 화면을 가리더라도 악성앱의 프로세스를 종료시킬 수 있어 기기 관리자를 해제할 수 있다. 설정 > 앱 정보에 접근할 때도 악성앱이 화면을 가릴 수 있지만 이때도 동일하게 'am force-stop [패키지명]' 명령을 이용해 프로세스를 종료하면 설치된 악성앱을 제거할 수 있다.

 

 

[그림 30] 실행 중인 악성앱 프로세스 종료 후 삭제

 

2.3 루팅된 스마트폰에서 악성앱 제거

일부 악성앱은 화면을 기기 관리자 접근 시 화면을 가리는 방법이 아닌 화면 호출 방법을 사용한다. 이 경우는 실행 중인 악성앱의 프로세스를 종료하더라도 기기 관리자 화면으로 접근할 수 없기 때문에 루트 권한을 이용해 제거해야 한다. 루팅은 안드로이드 운영체제를 탑재한 모바일 기기에서 관리자 권한을 획득하는 것을 말하는데, 루팅을 통해 슈퍼 유저 권한을 획득하면 안드로이드의 파일 시스템에 접근할 수 있으므로 안드로이드 패키지 매니저를 통하지 않고 설치된 악성앱을 삭제할 수 있다. 루팅된 스마트폰에서 악성앱을 제거하기 위해서는 먼저 악성앱 패키지명을 확인해야 한다. 악성앱 패키지명을 확인했다면 adb shell에서 'su'명령을 이용해 루트 권한을 획득하고 사용자의 앱이 설치된 /data/app 경로로 이동한다. (/data/app 경로는 루트권한이 없다면 접근할 수 없기 때문에 루트 권한이 필요하다.) /data/app 디렉터리에서 패키지명을 포함하는 apk 파일을 검색하고 검색된 파일을 삭제하면 악성앱을 제거할 수 있다.

제거된 스마트폰에서는 여전히 악성앱이 동작하지만 재부팅 후에는 삭제된 악성앱이 동작하지 않는다.

 

모바일 랜섬웨어 피해 예방법

 

모바일 랜섬웨어를 비롯한 악성앱이 설치되고 피해가 발생한 후에 복구하는 것은 많은 노력과 시간이 필요하다. 더욱이 랜섬웨어의 경우 한 번 설치되면 제거하기 어렵고 데이터를 암호화하는 경우 중요한 데이터를 잃을 수도 있다. 가장 좋은 방법은 안전한 스마트폰 환경을 만들어 악성앱이 설치되지 않도록 미리 예방하는 것이다. 랜섬웨어에 감염되는 것을 예방할 수 있는 몇 가지 방법을 살펴보자.

 

1. 알 수 없는 출처 설정 확인

알 수 없는 출처의 앱을 설치하는 것을 주의해야 한다. 안드로이드는 공식 마켓이 아닌 다른 경로를 통해서도 앱을 설치하는 것이 가능하다. 하지만 대부분의 악성앱들은 공식 마켓이 아닌 경로를 통해 배포되고 있다. 스미싱 문자를 통해 URL 접속을 유도해 설치되는 경우나 피싱 사이트를 통해 다운로드하는 경우도 있다. 또 신뢰할 수 있는 마켓이 아닌 블랙 마켓에서 다운받을 경우 악성앱이 포함되어 있을 가능성이 매우 크다. 이러한 위험을 방지하기 위해서는 공식 마켓인 구글 플레이 스토어 등을 통해서만 앱을 설치하는 것이 안전하다. 구글 플레이 스토어에서는 잠재적으로 위험한 앱을 차단하기 위한 검토를 거치고 앱을 등록하고 있다. 구글 플레이스 스토어를 통해서만 앱을 설치하려면 [그림 31]과 같이 스마트폰의 설정에서 ‘알 수 없는 출처’ 설정을 통해 플레이 스토어 외 출처에서 앱이 설치되는 것을 방지할 수 있다.

 

[그림 31] 알 수 없는 출처 설정 화면

 

2. 성인 콘텐츠 앱 주의

성인 콘텐츠 앱을 설치할 때는 신중해야 한다. 많은 악성앱이 음란물을 이용해 다운로드 및 설치를 유도하고 있는 만큼 모바일 랜섬웨어도 성인 콘텐츠를 활용하고 있다. 해외에서 발견되는 모바일 랜섬웨어 중 상당수 앱이 포르노 앱을 사칭하고 있다. 포르노 앱인 것처럼 위장하여 설치를 유도하거나 앱을 다운로드하여 설치하면, 불법적인 음란물을 소장하거나 시청하여 법을 위반했다고 협박하며 금전을 요구하기도 한다. 음란물이 앱을 설치하도록 유도하는 것뿐만 아니라 금액을 요구하는 랜섬웨어 행위에 활용되고 있다.

 

3. 기기 관리자 권한 등록 주의

앱을 기기 관리자에 등록하는 것을 조심해야 한다. 앱이 기기 관리자에 등록되면 스마트폰 보안과 관련된 작업, 원격 초기화, 네트워크 설정 등을 할 수 있게 된다. 기기 관리자에 등록된 앱은 관리자 등록을 해제하기 전까지 제거되지 않기 때문에 많은 모바일 랜섬웨어 앱들이 보안에 관한 권한과 제거 방지를 목적으로 기기 관리자 등록을 요구한다. 랜섬웨어들은 기기 관리자 권한 해제 이벤트를 수신하여 기기 관리자 권한 해제 자체를 방해하기 때문에 안전모드를 통한 제거도 어렵게 하는 방식을 사용하고 있다. 그러므로 앱 설치 후 기기 관리자 등록을 요구하는 앱의 경우 세심한 주의를 가지고 안전성이 보장되고 신뢰할 수 있는 경우에만 설정을 하는 것이 바람직하다. 

 

[그림 32] 기기 관리자 관리 화면

 

4. 최신 업데이트 유지

안드로이드 운영체제 및 보안 앱의 최신 업데이트를 유지해야 한다. 스마트폰의 개체 수가 늘어남에 따라 스마트폰 보안에 관심이 높아지고 스마트폰 및 모바일 운영체제에 대한 취약점이 많이 발견되고 있다. 악성앱 개발자들이 이러한 취약점을 활용하는 것을 방지하기 위해서는 취약점이 패치된 최신 업데이트를 유지해야 한다. 또 새로운 유형의 모바일 랜섬웨어를 차단하거나 새로운 보안 기술을 스마트폰에 적용하기 위해서는 모바일 보안 앱의 버전을 최신으로 유지하여 안전한 스마트폰 환경을 만들어야 한다.

 

 

지금까지 모바일 랜섬웨어에 대해 자세히 살펴보았다. 모바일 랜섬웨어에 감염되면 스마트폰 이용이 제한되고 데이터가 손실되는 피해를 볼 수 있다. 더욱이 모바일 랜섬웨어는 제거하기가 어렵다는 문제가 있다. 이러한 모바일 랜섬웨어를 유형별로 자세히 살펴봄으로써 동작 방식 및 기능을 이해할 수 있었다. 아직 한국을 대상으로 하는 모바일 랜섬웨어는 확인된 바 없지만 조만간 나타날 가능성은 매우 높다. 국내에 모바일 랜섬웨어가 등장한다면 현재 해외에서 활동하는 랜섬웨어가 유포되는 방식과 유사하게 나타날 수 있다. 그러므로 앞에서 살펴본 유포 방법을 바탕으로 세심한 주의를 기울여야 한다. 만약 모바일 랜섬웨어에 감염되었을 경우에는 수동 제거 방법을 따라 대처해야 한다. 하지만 가장 중요한 것은 모바일 랜섬웨어가 설치되지 않도록 예방하는 것이다. PC 랜섬웨어도 해외에서 활발히 활동하다 한국에 등장했다. 모바일 랜섬웨어도 현재 급격한 증가 추세를 보인다. 모바일 랜섬웨어의 피해자가 '나 자신'이 될 수 있는 만큼 많은 주의와 관심이 필요하다.

 

  • AhnLab 로고
  • 분석팀 모바일파트

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com

개인정보침해예방이전글다음글
다음글 [보안 위협 2015년 결산 및 2016년 예측] 보안 위협의 '파괴적 진화', 그 끝은?
이전글 섬뜩한 이름의 Death랜섬웨어 발견
  • 정보제공부서 : 정보통신과 정보보호팀
  • 전화번호 : 032-625-2371

홈페이지의 서비스 품질 향상을 위해 만족도 조사를 실시하고 있습니다. 이 페이지에서 제공하는 정보에 대하여 얼마나 만족하셨습니까?