Home > 전체기사

국내 생명보험사 사칭 악성 앱 발견... 스마트폰 완전 장악 가능

  |  입력 : 2021-11-14 00:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
악성 앱 설치되면 과도한 권한 요구
권한 획득시 사용자 휴대폰 모두 볼 수 있고 보이스피싱도 가능


[보안뉴스 권 준 기자] 최근 국내 한 생명보험사를 사칭한 악성 앱이 발견됐다. 악성 앱의 유포경로는 아직 확인되지 않았지만 해당 앱이 설치되면 과도한 권한을 요구하고 권한을 획득한 이후로는 피해자 휴대폰을 모두 볼 수 있는 만큼 각별한 주의가 필요하다.

▲생명보험사를 위장한 악성 앱 메인화면[자료=이스트시큐리티 ESRC]


이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 해당 앱이 사용자 휴대폰에 설치되면 △마이크 정보 탈취 △GPS 정보 탈취 △전화 탈취 △주소록 탈취 △통화 목록 탈취 △ SMS 정보 탈취 △통화기록 탈취 △저장용량 접근권한(파일 저장, 삭제 등 가능) 등의 과도한 권한을 요구하며, 해당 권한을 획득한 이후로는 사용자 휴대폰을 모두 볼 수 있고 보이스피싱도 가능한 것으로 드러났다.

생명보험사로 위장한 악성 앱을 설치한 사용자가 생년월일과 성별 정보를 입력한 후, 보험료 확인을 누르면 개인정보처리 동의를 이유로 이름, 주민등록번호, 통신사 정보 입력을 유도하게 된다.

▲개인정보 확인 페이지[자료=이스트시큐리티 ESRC]


이때 앱 내부에서 주민등록번호의 패턴을 검사하기 때문에 만일 사용자가 주민등록 패턴에 맞지 않은 임의의 7자리 숫자를 입력하면 주민등록번호를 제대로 입력하라는 창이 뜨게 된다.

실제 보험사에서 조회나 가입 등을 진행할 때 주민등록번호를 포함한 개인정보를 요구하기 때문에, 이러한 악성 앱에서 정보를 요구할 때 이상한 점을 느끼지 못하고 입력하는 경우가 상당수라고 할 수 있다.

만일 사용자가 앱에서 요구하는 정보들을 모두 입력한 후, ‘가입상품 확인하러 가기’를 누르면 입력한 정보들이 공격자 서버로 전송됨과 동시에 수령신청 페이지로 이동해 수령가능금액 32,192,000원이 보이게 된다. 이때 보이는 화면은 입력된 정보와는 상관없이 동일하게 보이는 것으로 분석됐다.

하지만 사용자가 ‘수령신청하기’를 누르면 이미 수령했다는 메시지와 함께 수령실패가 뜨며, 하단에 전화상담 버튼을 배치해 사용자들의 콜백을 유도하게 된다. 전화상담 번호는 실제 국민건강보험공단 번호로 적혀 있지만, 만일 사용자가 해당 번호로 전화를 한다면 공격자들이 전화를 넘겨받게 되는 것으로 알려졌다. 사용자가 설치한 악성 앱에는 전화 탈취 기능이 있어 공격자가 중간에서 사용자의 전화를 가로챌 수 있기 때문이다.

실제로 해당 악성 앱 내부에는 금융기관 안내멘트 녹음파일이 다수 포함되어 있었으며, 명령제어(C&C) 서버로부터 명령을 받아 가짜전화와 같은 기능들을 수행하는 것을 확인했다.

이와 관련 이스트시큐리티 ESRC 측은 “안드로이드 스마트폰의 경우 반드시 구글플레이를 통해 앱 설치를 해야 하며, 알약M과 같은 모바일 백신을 사용해야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화