- 트렌드마이크로, ‘RCS안드로이드’ 분석…고급기능 갖춰, 범죄 그대로 사용 가능

[디지털데일리 이유지기자] 국가정보원이 거래한 이탈리아 업체인 해킹팀에서 유출된 내부 소스코드를 사용해 상당히 정교하게 제작된 수준높은 안드로이드 해킹툴이 오픈소스로 일반에 공개됐다. 전문적인 악성코드 제작툴킷이라는 점에서 사이버범죄에 악용될 수 있다는 지적이 나왔다.

글로벌 보안업체인 트렌드마이크로는 27일 “RCS안드로이드(Remote Control System Android)라는 악성코드 제작툴킷은 이미 2012년부터 각국의 정보기관을 대상으로 판매됐다. 해킹팀에서 유출된 자료를 토대로 이 툴킷을 분석해 본 결과 이제까지 알려진 제작키트 중 가장 전문적이고 지능적인 것으로 밝혀졌다”고 경고했다. 

이 회사 공식 블로그에 게재된 분석 결과에 따르면, RCS안드로이드는 안드로이드 운영체제 4.0부터 4.3버전에 기본으로 장착돼 있는 두 개의 브라우저 취약점을 이용해 디바이스의 제어권한을 획득한다. 또한 스파이에이전트를 이식시키도록 설계돼 있다. 가짜 뉴스서비스 앱을 통해 사용자의 제어권한을 획득하는 백도어를 설치토록 하는 방법도 소개돼 있다.

안드로이드 기기에 삽입된 에이전트는 외부에 연결된 미디어서버에 통화내용을 실시간 전송하거나 스마트폰 내부 데이터를 파괴하는 등 모든 권한을 장악하게 된다.

특히 기존의 백신들이 탐지하지 못하도록 코드를 난독화하거나 아이콘을 숨기는 등 여러 기능이 제공돼 있다. 

이 툴킷은 크게 네가지로 구성되어 있다. 기기에 진입하는 툴, 운영체제 약점을 돌파하는 툴,  악성코드, 외부 지휘통제 서버로 구성돼 범죄조직이 그대로 재사용할 수 있다.

회사측은 “고급 기능들이 고스란히 공개돼 프로그래밍 초급자라도 손쉽게 악성코드를 제작해 안드로이드 스마트폰을 해킹할 수 있는 길이 열렸다. 모방범죄에 악용될 경우 안드로이드 기기가 일거에 대량으로 해킹의 제물이 될 수 있다”며 “사용자들은 새로운 앱이 승인없이 자동으로 설치되지 않도록 설정하거나 안드로이드 운영체제를 지속적으로 업데이트하고 성능이 입증된 모바일 보안 제품을 사용해야 한다”고 강조했다.

이와 함께 “만일 메신저 사용도중 앱이 멈추거나 갑자기 리부팅을 시작하고 잘 모르는 앱이 갑자기 설치됐을 경우 해킹된 것이 아닌지 의심해봐야 한다. 한 번 감염되면 루트 권한 없이는 제거되지 않으므로 제조사로부터 직접 펌웨어를 새로 업데이트해야 한다”고 설명했다.

<이유지 기자>yjlee@ddaily.co.kr