티스토리 뷰
목차
목차
1. 서론
최근 들어 iOS와 Android 사용자들을 대상으로 한 악성 앱 공격이 증가하고 있습니다. 특히 애플과 구글이 제공하는 보안 메커니즘을 우회하는 새로운 기법이 등장하면서, 사용자들 사이에 큰 걱정을 불러일으키고 있습니다. 이 블로그 포스트에서는 이러한 새로운 피싱 기법이 어떻게 동작하는지, 그리고 이를 방지하기 위한 방법에 대해 자세히 알아보겠습니다.
1-1. 모바일 운영 체제의 보안 메커니즘
애플의 iOS는 'Walled Garden'이라고 불리는 보안 모델을 통해 사용자들이 App Store 외의 앱을 설치하지 못하도록 하고 있습니다. 반면, 구글의 Android는 기본 설정으로 Google Play를 통해서만 앱 설치가 가능하며, 타사 앱 설치는 사용자가 직접 허용해야 합니다. 이 두 가지 보안 메커니즘은 사용자의 개인 정보를 보호하기 위한 중요한 수단입니다.
2. 새로운 피싱 기법
피싱 캠페인은 최근 9개월 동안 iOS와 Android 사용자들을 속여 악성 앱을 설치하게 만드는 새로운 기법을 사용하고 있습니다. 이러한 피싱 공격은 사용자가 은행의 공식 앱이라고 착각하도록 만든 악성 앱을 설치하게 유도합니다. 사용자가 설치 후 입력한 은행 계정 정보는 실시간으로 공격자에게 전달됩니다.
2-1. Progressive Web App(PWA) 기법
공격자는 웹 표준만을 활용하여 네이티브 앱과 유사한 기능과 동작을 제공하는 Progressive Web App(PWA)을 사용합니다. PWA는 표준을 준수하는 브라우저가 있는 어느 플랫폼에서나 동일하게 작동하기 때문에 iOS와 Android 모두에서 사용이 가능합니다. 이러한 PWA가 설치되면 홈 화면에 추가될 수 있어 네이티브 앱과 매우 유사한 모습을 가지고 있습니다.
2-2. PWA와 WebAPK의 차이점
iOS에서는 PWA를, Android에서는 WebAPK를 사용하여 공격이 진행될 수 있습니다. WebAPK는 네이티브 앱처럼 보이지만 실제로는 웹 기술을 사용하여 만들어진 앱입니다. 이는 Chrome 브라우저의 WebAPK 기술을 악용한 것으로, 사용자는 무심코 악성 앱을 설치하게 됩니다.
3. 구체적인 공격 방법
이제 이러한 새로운 피싱 기법이 어떻게 실제로 작동하는지 자세히 알아보겠습니다. 이 섹션에서는 공격 절차, 피해자 유도 방법, 그리고 실제 사례를 중심으로 설명하겠습니다.
3-1. 공격 절차
공격은 보통 텍스트 메시지, 자동화된 전화, 또는 Facebook이나 Instagram 같은 소셜 미디어의 악성 광고를 통해 시작됩니다. 피해자가 링크를 클릭하면, App Store나 Google Play와 유사한 페이지가 열리게 됩니다. 이 페이지에서 사용자는 '새 버전'의 은행 앱을 설치하도록 유도됩니다.
3-2. 피해자 유도 방법
사용자가 '설치' 또는 '업데이트' 버튼을 클릭하면, 악성 앱이 피해자의 스마트폰에 직접 설치됩니다. 이 단계에서는 브라우저의 경고 메시지가 나타나지 않기 때문에, 사용자는 안전하다고 믿고 설치를 진행하게 됩니다. iOS 사용자의 경우, 애니메이션 팝업이 표시되어 사용자가 PWA를 홈 화면에 추가하도록 안내합니다.
3-3. 공격의 실제 사례
현실에서 이러한 공격은 은행 고객들을 대상으로 많이 발생합니다. 예를 들어, 체코야, 헝가리 및 조지아의 은행 고객들이 주요 타겟이 되었습니다. 두 개의 서로 다른 커맨드 앤 컨트롤(C&C) 인프라가 사용되어 두 가지 다른 위협 그룹이 이 기술을 사용하고 있다는 지표를 제공했습니다.
4. 방어 및 예방 방법
이제 이러한 공격으로부터 자신을 보호할 수 있는 방법에 대해 알아보겠습니다. 사용자는 물론 기업도 방지 조치를 취함으로써 피해를 줄일 수 있습니다.
4-1. 사용자 주의사항
사용자는 알 수 없는 출처의 링크를 클릭하지 않도록 주의해야 합니다. 또한, 앱 설치 시에는 항상 공식 앱스토어를 통해 설치해야 하며, 설치 과정에서 의심스러운 점이 있다면 즉시 중단하는 것이 좋습니다.
4-2. 기업의 필수 보안 조치
기업은 고객들에게 정기적으로 보안 교육을 제공하여 피싱 공격의 위험성을 인식시키는 것이 중요합니다. 또한, 강력한 보안 솔루션을 활용하여 네트워크와 시스템의 보안을 강화해야 합니다.
이번 포스트에서는 iOS와 Android에서 악성 앱을 안전 가이드라인을 우회하여 설치하는 새로운 피싱 기법에 대해 알아보았습니다. Progressive Web App(PWA)와 WebAPK를 악용한 이러한 공격은 사용자들에게 매우 큰 위협이 됩니다. 따라서 사용자는 항상 앱 설치 시 주의를 기울이고, 기업은 체계적인 보안 조치를 통해 고객 정보를 보호해야 합니다.