Home > Security
모든 안드로이드 생태계에서 발견된 스트랜드호그 취약점
  |  입력 : 2019-12-03 11:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
안드로이드의 멀티태스킹 원리에서 비롯된 취약점, 공격자들은 이미 알고 있었다
구글 스토어에서 익스플로잇이 퍼지고 있어…일부 앱 삭제로 일단락했지만 근본 조치는 아냐


[보안뉴스 문가용 기자] 안드로이드 OS에서 새로운 취약점이 발견됐다. 이 취약점을 성공적으로 익스플로잇 할 경우 공격자는 정상적으로 설치된 앱을 통해 멀웨어를 심을 수 있게 된다. 동시에 사용자들 모르게 사용자를 추적하는 것도 가능하게 된다고 한다.

[이미지 = iclickart]


이 취약점을 발견한 건 노르웨이의 앱 보안 전문 업체인 프로몬(Promon)이며, 취약점에는 스트랜드호그(StrandHog)라는 이름이 붙었다. 스트랜드호그는 바이킹의 해안 침략 전략 중하나를 일컫는 오래된 노르웨이어다. 취약점 익스플로잇을 통해 정상적인 애플리케이션을 침략할 수 있기 때문에 정해진 이름이라고 한다. 스트랜드호그는 이미 사이버 공격자들 사이에서 활용되고 있으며, 공격자에게 루트 권한이 있어야만 하는 것도 아니며, 가장 최신 버전을 포함한 모든 안드로이드 버전에 영향을 준다고 한다.

공격자가 스트랜드호그를 통해 안드로이드 장비 장악에 성공하면 단문 메시지, 사진, 로그인 크리덴셜 등에 접근하는 게 가능하다. 그러면서 장비 사용자의 위치를 계속해서 추적할 수도 있게 되고, 통화도 녹음할 수 있으며, 스마트폰 카메라와 마이크도 장악해 각종 스파이 행위도 할 수 있게 된다.

체코 은행들에서 수상한 일들이…
프로몬은 고객사를 통해 스트랜드호그 취약점을 발견하게 되었다. 동유럽의 보안 업체였던 고객사가 체코 은행으로부터 수상한 돈이 입출금되는 것을 알아냈고, 이 현상의 뿌리를 추적하다가 스트랜드호그를 찾아낸 것이라고 한다. “안드로이드 사용자들이 ‘정상적인 앱을 사용하고 있다’고 믿게 하면서 악성 행위를 실시하는 공격이더군요.”

이에 프로몬은 미국의 보안 회사인 룩아웃(Lookout)과 협업 체제를 이뤘다. 연합 조사를 통해 36개의 악성 앱에서 스트랜드호그를 발견할 수 있었다. 심지어 안드로이드 환경에서 가장 인기가 높은 500개 앱들 역시 스트랜드호그에 악용 당할 위험이 있는 것으로 나타났다.

프로몬의 CTO인 톰 라이즈모스 한센(Tom Lysemose Hansen)에 의하면 “스트랜드호그 취약점에 대한 분석이 이뤄진 건 올해 봄과 여름”이라고 한다. “하지만 공격자들 사이에서 스트랜드호그가 알려지고 활용된 건 그보다 훨씬 전입니다.”

이번 조사(체코 은행과 관련된 사건)에 참여한 전문가들은 “스트랜드호그를 발견하게 한 최근 캠페인을 통해 공격자들은 약 60개의 금융 단체들을 표적으로 삼은 것으로 보인다”고 결론을 내렸다. 공격자들은 유명 뱅킹 트로이목마인 뱅크봇(BankBot)을 함께 사용하기도 했다.

공격의 원리
스트랜드호그는 안드로이드 OS 상에 존재한다. 보다 정확히 말하면 안드로이드가 여러 애플리케이션들이 생성한 프로세스들을 오가는 방식에 기인한다고 볼 수 있다. “즉 안드로이드가 구현하는 멀티태스킹이 취약점의 뿌리라는 겁니다. 여러 앱을 한꺼번에 돌리고, 이 앱에서 저 앱으로 바꿔서 실행할 때 스트랜드호그 취약점을 발동시킬 수 있습니다. 안드로이드 제어 옵션 중 하나인 태스크어피니티(taskAffinity) 때문입니다.”

연구원들에 따르면 태스크어피니티는 악성 앱이라고 할지라도 멀티태스킹 시스템 내에서 정상적인 아이덴티티를 가져갈 수 있게 해준다고 한다. “그래서 공격자들은 악성 앱을 준비하고, 해당 앱이 정상적인 척 위장하면서 필요한 허용 사항을 사용자에게 요청합니다. 정상 앱이 정상적인 내용을 요청하는 것처럼 보이니 사용자는 이것을 허락해줍니다. 너무 많은 걸 요청하면 사용자들도 의심할 법한데, 그런 점에서도 꽤나 조심스러운 면모를 보이는 것이죠.”

하지만 정상적인 허용 사항만 가지고는 악성 행위를 하는 데 있어 어려움이 있지 않을까? “공격을 하는 데에 문자 메시지에 대한 접근 권한 등 사용자의 추가 허용이 필요한 경우, 악성 앱은 계속해서 기다립니다. 사용자가 문자 메시지 앱을 실행시킬 때까지 기다리는 것이죠. 그리고 그 타이밍에 사용자의 허용을 요구하는 팝업 창을 띄웁니다. 사용자는 ‘문자 메시지 앱이 보낸 요청을 허락했다’고 착각하게 됩니다.”

스트랜드호그 익스플로잇이 포함된 악성 앱들은 현재 공식 구글 플레이 스토어에서 발견할 수 없다. 전부 삭제됐기 때문이다. “다만 정상 앱들을 드로퍼로서 활용하기 때문에, 앞으로도 비슷한 앱들이 계속해서 스토어에 등록되는 것을 막을 수는 없을 겁니다.”

프로몬은 스트랜드호그 취약점을 올해 여름 구글에 알렸다. 구글은 사건에 연루된 앱을 삭제하긴 했지만 스트랜드호그 취약점 자체를 아직 해결하지는 못하고 있다. 취약점이 보고되고서 90일이 지났지만 여전히 취약점은 해결되지 않은 채 남아있다. 90일은 구글이 타사 제품에서 취약점을 발견해 알리면서 주는 픽스 개발 기한이다.

3줄 요약
1. 구글 안드로이드 OS의 멀티태스킹에서 취약점 발견됨.
2. 이 취약점은 올해 초에 발견됐고, 공격자들은 그것보다 훨씬 전부터 알고 있었음.
3. 구글은 사건 관련 앱들만 삭제한 상태. 취약점의 근본적 해결은 아직.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제