[아이티데일리] 국가정보원과 거래한 것으로 알려진 이탈리아 소재 해킹팀의 해킹툴이 내부 소스코드 유출로 인해 일반에 공개됐다. 이는 상당히 정교하게 제작된 수준 높은 해킹툴로, 자칫 심각한 보안 위협을 초래할 수 있을 것이라는 분석이다.

27일 트렌드마이크로는 블로그를 통해 이탈리아 해킹팀의 악성코드 제작 툴킷 ‘RCSAndroid’을 입수, 분석했다고 밝혔다.

‘RCSAndroid’는 이미 2012년부터 각국의 정보기관을 대상으로 판매가 됐던 해킹툴이다. 트렌드마이크로 측은 해당 툴킷을 분석해 본 결과 이제까지 알려진 제작키트 중 가장 전문적이고 지능적이라고 설명했다.

‘RCSAndroid’ 툴킷은 ▲기기에 진입하는 툴 ▲운영체제 약점을 돌파하는 툴 ▲악성코드 ▲외부 지휘통제 서버 등 네 가지로 구성돼 있다.

툴킷의 동작원리는 안드로이드 4.0버전부터 4.3버전에 기본으로 장착돼 있는 브라우저 내 두개의 취약점을 이용하는 것으로, 디바이스의 제어 권한을 획득해 스파이 에이전트를 이식시키거나 가짜 뉴스서비스 앱을 통해 사용자의 제어 권한을 획득하는 백도어를 설치한다.

안드로이드 기기에 삽입된 에이전트는 외부에 연결된 미디어 서버에 통화내용을 실시간으로 전송하거나 스마트폰 내부 데이터를 파괴하는 등 모든 권한을 장악하게 된다.

특히 ‘RCSAndroid’는 기존 백신들이 탐지하지 못하도록 코드를 난독화하거나 아이콘을 숨기는 등 여러 기능이 탑재돼 있어, 범죄조직 등에서 이용하기에 적합했던 것으로 분석됐다.

트렌드마이크로 측은 “이와 같은 고급 기능들이 고스란히 공개되는 바람에 프로그래밍 초급자도 손쉽게 악성코드를 제작해서 안드로이드 스마트폰을 해킹할 수 있는 길이 열렸다”며, “모방범죄에 악용될 경우 안드로이드 기기가 일거에 대량으로 해킹의 제물이 될 수 있을 것”이라고 경고했다.

이에 사용자들은 새로운 앱이 승인 없이 자동으로 설치되지 않도록 설정하거나 안드로이드 운영체제를 지속적으로 업데이트하고 성능이 입증된 모바일 보안 제품을 사용할 것이 요구된다.

또한 메신저 사용 도중 앱이 멈추거나 갑자기 리부팅을 시작하고, 잘 모르는 앱이 갑자기 설치됐을 경우 해킹이 된 것이 아닌지 의심해봐야 한다. 한 번 감염되면 루트 권한 없이는 제거되지 않으므로 제조사로부터 직접 펌웨어를 새로 업데이트해야 한다.