: TB의 SNS 이야기 :: 해킹팀의 백도어는 '이제까지 본적이 없는 가장 수준 높은 백도어(스파이웨어)다.'



이탈리아 해킹팀의 백도어가 큰 이슈다. 한국에서는 국정원이 이 해킹프로그램을 사용하여 정치인과 민간인을 사찰했다는 의혹이 있다. 국정원은 '민간인을 사찰하지 않았다.'고 하는데, 국정원의 말이 사실이라는 전제에서도, 현재 안드로이드 유저들은 큰 보안 위험에 노출되어 있다.


해킹팀의 백도어는 '이제까지 본적이 없는 가장 수준 높은 백도어(스파이웨어)다.'라는 평가다. RCS9의 변종인 RCS Android(Remote Control System Android)를 사용자 몰래 시스템에 설치 한 후 원격으로 개인정보(카드번호, 통장번호, 아이디, 비밀번호 등)를 탈취 할 수 있고, 사진이나 동영상을 촬영해서 전송을 받는다던지 사용자 주소록과 그 주소록에 따른 주변인물 관계도까지 탈취할 수 있다.


'설마?'라고 못 믿는다면, 아이폰에도 이런 RCS류가 있고(참고), 안드로이드에서도 RCS류가 있다. 바로 '원격 제어'가 RCS인데, 해킹팀은 이 RCS를 사용자가 인지하지 못하게 설치한 채 원격으로 제어하는 것이다.


안드로이드 기기를 사용하면서 위험요소에 노출될 가능성은 크게 총 4가지다. 인터넷 상에 돌아다니는 유.무료 앱 .apk 리패키징, 변조된 URL 제공으로 웹사이트 접속만으로 감염, 변조된 URL을 이메일이나 SMS 또는 문자메세지 앱(ex. 카카오톡 등)으로 배포시켜 열람과 함께 감염, 더 큰 문제점은 사전 검열이 없는 '정식 구글 플레이에 등록'시키는 것.이다.


이처럼, 사실상 안드로이드를 쓰면서 사용자가 아무리 조심을 하더라도, rooting 유.무에 무관하게 '상시 위험'에 빠진다는게 문제다. '보안 구멍은 사용자 본인'이라는 말로 이런 문제점들을 덮기에는 '구멍(= non technical users)들이 너무 많다.'


RCS Android는 Evidence Collector 와 Event Action Trigger 라는 2개의 코어 모듈로 구성된다. Evidence Collector는 기기 정보 획득, 보이스콜 캡처, 위치 정보 레코딩, Wi-Fi 지역 및 온라인 계정 패스워드 획득, 주소록 수집, IM계정으로 부터 메세지 디코딩, SMS 및 MMS 수집에 관여한다. Event Action Trigger는 악의적인 행위에 관여된다. 예를 들자면, 공격자가 지정한 키워드에 해당되는 SMS메세지가 왔을 때 스크린은 변경시켜 버린다.(사용자는 메세지가 온지도 모를수도 있다.) 데이터를 동기화 하고, 백도어 모듈을 업그레이드 하며 새로운 페이로드를 다운로드 한다. 공격자는 원격으로 root 엑세스를 통해 암호가 걸린 기기를 리셋이 가능하고, 원격으로 삭제를 할 수도 있다.(흔적을 지울 수 있다.)


해킹팀의 RCS Android는 안드로이드 4.0 Ice Cream Sandwich ~ 4.3 Jelly Bean 까지는 완벽하게 지원한다. 현재 lollipop 이상은 부분적으로 작동하지 않는 것들이 있으나, 해킹팀의 자료가 인터넷에 오픈됐으니, 악의를 갖은 해커들에게 업데이트 된 변종의 등장이 예상된다.


알 수 없는 게시자로 부터의 앱 설치를 하지 말아야 하고, 서드-파티 소스 추가를 하지 말아서 위험 요소를 최소화 해야 한다. 기기를 항상 최신 업데이트를 유지하는 것 만이, 이와 같은 멜웨어 백도어로 부터 기기를 사용할 수 있는 최선이다.


그러나, 이미 이런 위험상황에 노출되어 감염됐고, 비정상적인 현상을 감지했다면(예를 들자면 원치 않거나 예기치 못한 리부팅이나 멈춤 현상), 일반적인 공장도초기화로는 문제가 해결되지 않기에 전문가를 찾아야 한다.


Source(via XDA) cf.



▲ 내가 생각하는 좋은 블로거란(보기)

▲ 블로그 이용(펌)에 관한 안내문(보기)

▲ 불펌 제보 받습니다. 댓글로 남겨주시면 감사하겠습니다.

 비영리로 운영중인 'T.B의 SNS 이야기' 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 로그인이 필요 없는 추천은 블로거에게 큰 힘이 됩니다. 댓글은 소통의 시작입니다.


T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.


Posted by T.B

댓글을 달아 주세요