닌텐도(Nintendo)는 모바일 사업을 하지 않겠다고 했지만 닌텐도도 별 수 없이 모바일 사업을 시작했다.[1] Miitomo[2], 포켓몬 셔플[3]을 이어 다음으로 나온 것이 증강현실을 이용한 게임, 포켓몬고(Pokemon Go)[4]다. 포켓몬고가 나왔을 때 폭풍 같은 열광과 관심이 쏟아져 나왔고 포켓몬고는 출시된 지 한달 만에 2억 달러를 찍었다.[5] 포켓몬고의 열기가 슬그머니 식어갈 때쯤 닌텐도에서는 새로운 모바일 게임 하나를 출시했으니, 그것이 바로 슈퍼마리오런(Supermario Run)이다.[6] 슈퍼마리오런 역시 출시되자마자 가볍게 다운로드 순위 1위를 찍었다.[7] 많은 이가 포켓몬고와 슈퍼마리오런의 출시를 주목하고 기다렸다는 증거다. 하지만 게이머만 이 게임들을 기다려온 것이 아니다. 게이머들이 슈퍼마리오런과 포켓몬고의 출시를 기다린 것처럼 악성코드 제작자 역시 게임이 출시되기를 기다렸다. 2016년 12월, 슈퍼마리오런이 출시되고 악성코드 제작자들은 바빠졌다. 그들은 게임의 인기를 이용하여 사용자의 모바일 기기에 악성코드를 설치한 후 사용자 정보를 훔쳤다. 안타까운 점은 이러한 모바일 악성 앱(App)이 나오는 것이 흔한 경우가 아니라는 것이다.
닌텐도의 상징적인 캐릭터인 배관공 슈퍼마리오는 12월 15일 애플(Apple)의 iOS 플랫폼 기반, 슈퍼마리오런(Supermario Run)이라는 이름으로 모바일 게임이 출시되었다.[8] 슈퍼마리오런은 본래 아이폰(iPhone) 7 발표에서 이벤트로 나온 게임으로 안드로이드(Android)보다 아이폰 버전이 먼저 출시되었다.[9] 국내는 2017년 2월 1일, 한국 앱스토어를 통해 한글 버전이 출시[10]되었으며 먼저 해외버전을 다운받았던 사용자들은 언어 변경을 통해 게임을 유지할 수 있다. 슈퍼마리오런은 다운로드 순위에 비해 매출은 큰 효과를 보진 못했지만 출시 전부터 닌텐도에서 직접 제작한 최초의 모바일 게임으로 많은 주목을 받았었다. 아마도 실패 요인은 24개로 이루어진 스테이지에서 초반 3 스테이지를 제외한 4 스테이지는 20초만 플레이를 할 수 있고 나머지는 12,000원을 결제해야지만 플레이를 할 수 있다.[11] 또한, 가격에 비해 빈약한 게임 내용은 슈퍼마리오런의 저조한 수익률에 가장 크게 작용한 점이지 않을까 생각된다.[12]
슈퍼마리오런이나 포켓몬고처럼 유명 모바일 게임이 출시되면 이러한 게임을 위장하여 악성 앱이 돌기 마련이다. 슈퍼마리오런보다 먼저 출시된 포켓몬고 역시 이런 점은 피해갈 수 없었다. 당시 포켓몬고와 관련한 악성 앱으로 인해 피해자가 많이 속출하였고 주의하라는 얘기가 심심치 않게 들려왔다. 필자 역시 이와 관련하여 기사를 작성하였고 슈퍼마리오런도 피해갈 수 없는 굴레라 여겨 오늘은 슈퍼마리오런의 악성코드와 관련하여 말해볼까 한다.슈퍼마리오런은 안드로이드보다 iOS 플랫폼 기반 모바일 게임이 먼저 출시되어 아이튠즈 스토어(iTunes store)에서 한 동안 다운로드 1위 자리를 잡고 있었다.[13] 당시 안드로이드 버전의 슈퍼마리오런은 아직 출시되지 않았고 공식적인 소식조차 없었던 터라 아이폰 사용자들만 슈퍼마리오 런을 즐길 수 있었다. 하지만 이러한 점을 이용하여 안드로이드 버전의 슈퍼마리오런으로 위장한 악성코드 앱이 등장했다. 이 악성코드는 이미 수 많은 다른 앱으로 전례가 있던 악성코드로 안드로이드 마처 트로이목마(Android Marcher Trojan)라고 불린다.[14] 마처 트로이 목마는 슈퍼마리오런 앱으로 가장한 금융사기 애플리케이션으로 사용자에게 가짜 신용 카드 페이지를 보여주어 은행 정보와 신용 카드 정보 등 사용자의 정보를 탈취했다.[15]
본래 마처 악성코드는 2013년 러시아 사용자를 대상으로 처음 등장하였다. 매우 정교한 뱅킹 악성 앱(App)으로 구글 플레이(Google Play)를 이용하는 사용자가 주로 대상이었다.[16] 사용자의 모바일 기기에 마처가 설치되면 악성코드는 잠시 대기를 한 후, 사용자의 기기에 설치된 앱 중 하나를 열어 그와 관련하여 사용자의 은행 정보를 사용자에게 요청한다. 사용자의 금융 관련 정보가 입력되면 그 정보는 명령 및 제어(C&C)서버로 전송된다.[] 이 악성코드는 초기와 달리 갈수록 진화하고 있으며 그 정교함도 2013년에 비해 많은 차이를 보이고 있다.[17] 새롭게 업그레이드된 마처는 안드로이드용 슈퍼마리오런으로 위장하였고 이제는 어떤 악성코드로 위장을 할지 악성코드 제작자 외에는 아무도 모른다
마처 트로이 목마 악성코드의 세부정보[18]는 다음과 같다.
- 이름 : : Super Mario Run
- 패키지 이름 : : uiq.pizfbwzbvxmtkmtbhnijdsrhdixqwd
- MD5 : : d332560f1fc3e6dc58d94d6fa0dab748
- 탐지 : : 27 / 56(at time of analysis)
사용자가 마처를 설치하게 되면 악성코드는 사용자에게 몇 가지 권한을 요구한다. 먼저 모바일 기기 환경설정을 수정할 수 있는 권한과 사용자의 데이터를 읽을 수 있는 권한, 그리고 과금할 때 필요한 전화번호와 전화를 걸 수 있는 기능, 메시지를 읽고 쓰고 삭제하는 권한을 요청한다.[19]
마처 악성코드가 2013년 처음 나온 이래로 계속 업그레이드하며 더 정교한 악성 앱으로 거듭나고 있다. 마처 악성코드 이전 버전에서는 잘 알려져 있는 호주, 영국, 독일, 프랑스 은행을 보여주었지만[20] 최근에는 모바일 디바이스에 설치되어 있는 앱을 이용하여 사용자를 속이기 시작했다. 물론 버전이 다르다고 해서 사기치는 방법이 달라진 것은 아니다. 또한, 사용자가 신용카드 정보를 입력하여 전송할 때까지 구글 플레이 앱을 잠가버리므로 신용카드 정보를 입력해야 구글 플레이를 사용할 수 있다.
현재로는 이 악성코드의 C&C 서버가 제대로 작동하지 않는다. 이는 아마도 인기 있는 앱을 이용한 감염방법으로 단기적으로만 사용하고 이후 C&C 서버를 닫은 것으로 생각된다. 그런 의미로 이후에는 마처 악성코드가 다른 앱으로 계속 업그레이드되어 나올 것으로 예상된다. 최근 들어서는 악성코드의 코드 역시 난독화되어 있어 중요한 문자열은 다른 문자열로 나와 리버싱하기도 쉽지 않다는 의견이다.[21]
슈퍼마리오런의 또 다른 트로이 목마 유형으로 드로이드 RAT(DroidJack RAT) 즉, 원격 액세스 트로이 목마가 발견되었다. 이 악성코드는 포켓몬고 글에서도 나왔던 악성코드로 Proofpoint에서 처음 발견한 악성코드다. 슈퍼마리오런은 아이폰 게임을 시작으로 안드로이드 사용자 역시 엄청난 기대를 가져왔다. 그리고 많은 이가 기대했던 만큼 인기 앱의 악성코드 굴레 역시 벗어날 수 없었다.
드로이드 RAT 악성코드 세부정보[22]는 다음과 같다.
- 이름 : : Super Mario Run
- 패키지 이름 : : net.droidjack.server
- MD5 : : 69b4b32e4636f1981841cbbe3b927560
- 탐지 : : 33 / 56(at time of analysis)
이 악성코드는 트로이 목마로 구글 플레이에서 슈퍼마리오런 모바일 게임인 척 하고 있지만 사실은 DroidJack이라는 악성 RAT다. 이 악성코드 역시 설치 시에 의심스러운 권한을 사용자에게 요구한다. 사용자의 정보를 모을 수 있는 카메라와 비디오, 디바이스에 있는 사용자 정보, 위치, 녹음기능, 전화와 메시지를 원하는 대로 사용할 수 있도록 사용자에게 설치시부터 권한을 요구한다.[23]
악성코드가 설치되면 RAT는 감염된 장치를 등록한 후, 통화 데이터, 문자메시지, 비디오, 사진 등과 같이 사용자의 중요한 정보를 갭처하기 시작한다. 드로이드잭 악성코드는 통화 녹음을 기록하고 통화 녹음과 관련한 RAT를 통한 모든 호출을 기록하여 이를 ‘.amr’ 파일로 저장한다. 통화 외에도 RAT로 캡처된 모든 비디오는 ‘video.3gp’ 파일로 저장을 한다. 이렇듯 드로이드잭 악성코드는 통화 정보와 문자메시지 로그를 수집하고 외에도 whatsApp 의 데이터 역시 추출하여 저장하기도 한다. 이렇게 저장된 사용자에 관한 모든 데이터는 RAT를 통해 생성된 데이터베이스(DB)에 저장하여 명령 및 제어(C&C) 서버로 보낸다. 더불어, 마처 악성 코드와 마찬가지로 C&C 서버 위치는 코드에 하드코딩 되어 있다.[24]
갈수록 모바일 게임의 인기를 이용한 악성 앱의 등장이 잦아지고 있으며 실로 갈수록 트로이 목마의 형태 역시 정교해지고 있다. 더군다나 애드웨어 역시 공격적으로 광고를 보여주며 존재감을 드러내니 진짜 치열하게 싸우고 있는 것은 컴퓨터보다 모바일 분야이지 않을까 생각된다. 여기에서 언급되지 않았지만 Candy Crush, Facebook, GoogleNow, NYTimes, Oktam Snapchat, Twitter, WhstsApp 등 여러 유명 앱에서 나온 트로이 목마 애드웨어 ‘Lookout’ 역시 인지도 있는 앱의 인기도를 이용하여 위장한 악성코드 유형이다.[25] Lookout 뿐만 아니라 Shuanet, DroidDream, Hummer, Acecard 등 수 많은 트로이 목마가 구글 플레이와 네트워크에 자리잡고 사용자들을 위협하고 있다.[26][27][28] 모바일 분야는 아직 포괄적인 보안 지침이 적용되지 않아 마치 야생과도 같다. 더불어, 이미 모바일 사이버 범죄는 하나의 지하세계를 형성하였고 그 중 모바일 악성코드는 인기 있는 공격 유형이 되었다. 특히나 모바일 악성코드는 손 쉽게 구하고 수익을 창출하기 때문에 많은 이가 모바일 악성코드를 구하고 이로 인해 달 평균 5000달러 이상이 팔리는 등 갈수록 더해지고 있다.[29] 더군다나 모바일 범죄로 인한 벌은 아직까지 선례도 없고 죄 형량이 크지 않아 제어조차 안되고 있다.[30] 사용자의 주의도 분명히 필요하지만 보안 분야의 생태계를 위해 모바일 보안에 정책을 다시 한 번 생각해봐야 하는 시점이지 않을까 생각된다.
