한국어

이것 저것

새로운 보안 위협 'QR 코드'

2013.08.21 20:08

WindBoy 조회 수:419

최종 사용자의 컴퓨팅 기기 가운데 모바일 기기, 특히 스마트폰이 차지하는 비중은 점점 더 늘어가고 있다. 더불어 지능형 지속 위협(APT, Advanced Persistent Threat)의 초점 역시 점점 더 모바일 시장으로 옮겨가고 있다.

비트디펜더(BitDefender)의 최고 보안 연구원 캐털린 코소이는 “우리가 허니팟(honeypot)을 통해 수집한 모바일 위협 분석 결과에 따르면, 2012년 모바일 맬웨어의 증가율은 100%를 넘겼다”라고 말했다.

모바일 기기 시장은 악의적 해커들에겐 더할 나위 없이 좋은 표적이 되고 있다. 과거 초기 PC 시장보다 급격한 성장세를 보이면서도 대부분의 수요가 최종 사용자들로부터 창출됨에 따라 보안 소프트웨어 설치가 상대적으로 소홀한 경우가 많기 때문이다. 그들이 공격에 즐겨 이용하는 도구 중 하나로는 <악성 QR 코드>가 있다.



악성 QR 코드란?
해커들은 맬웨어가 포함된 웹사이트로의 링크가 포함된 QR(Quick Response, 신속 대응) 코드를 배포하는 전략으로 모바일 기기들을 공격한다.

여러 컨퍼런스에서 악성 QR 코드의 위험성을 지적해 온 그린SQL(GreenSQL)의 설립자이자 CTO 데이빗 마망은 “사용자가 어떻게 QR 코드를 스캔, 수집하건, 궁극적으로 이를 링크로 변환하는 것은 개별 기기다”라고 말했다. 그에 따르면 웹 링크는 이후 트로이 목마로 사용자 기기를 감염시키게 된다.

네트워크 보안 수준 감사를 위한 침투 테스트 서비스를 제공하는 파라미터 시큐리티(Parameter Security)의 선임 해커 데이브 크로니스터는 “공격은 주로 자바스트립트 트로이 목마를 통해 이뤄진다. 웹사이트에 접속하면, 자바스크립트가 자동으로 실행되고, 트로이 목마가 시스템에 침투하는 방식이다”라고 설명했다.

모바일 기기에 침투한 트로이 목마는 데이터 유출이 가능한 여타 위협 지점들을 해커의 서버에 자동으로 전송하게 된다.

오늘날 시중에는 다수의 자동 QR 코드 제작 툴이 무료로 배포되고 있기 때문에 해커들은 굳이 제작에 노력을 쏟을 필요도 없다.

공격 매개체/감염 지점
이렇게 악성 QR 코드를 제작한 뒤 해커들은 그것을 기업 고객들의 의뢰로 적법한 코드를 제작하는 마케팅 업체들을 통해 사용자들에게 배포하는 전략을 취해왔다.

그러나 이제는 여기에서 한 발 더 나아가기도 한다. 마케팅 업체의 시스템을 탈취한 뒤 그들이 의뢰를 받아 제작한 코드를 자신들이 제작한 악성 코드로 대체해 대신 배포하는 것이다. 이 경우 사건의 책임이 QR 코드를 의뢰한 기업들에게 전가 된다는 점 역시 새로운 문제가 된다.

오늘날 많은 QR 코드 제작 무료 앱들이 배포되고 있다는 사실 역시 문제를 야기할 수 있다.

크로니스터는 “QR 코드 제작을 도와준다고 홍보하면서 사실은 거기에 사람들을 기기에 맬웨어를 주입 시키는 2차 사이트로 이끄는 자바스크립트를 추가하는 수법을 어떻게 막을 수 있을까?”라며 우려를 표했다.

또한 이렇게 악성 QR 코드를 통해 감염된 스마트폰이 기업 네트워크에 대한 접근권을 부여 받게 되는 경우에는, 휴대폰의 데이터 연결을 통해 기업까지 맬웨어에 노출되게 된다는 위협 시나리오 역시 실현 가능하다.

새로운 공격 매개체, 그 소름 돋는 결과
악성 QR 코드는 피싱 공격에도 이용될 수 있다. 길거리에서 ‘QR 클럽에 가입하고 무료 샌드위치 받으세요!’라는 홍보 문구가 적힌 서브웨이 샌드위치의 명함을 받은 적이 있는가? 그 옆에 그려진 QR 코드는, 사실 사기 악성 코드였던 사례가 있다. 코드를 통해 들어간 링크에서 스크린에 표시한 것은 ‘클럽 가입을 축하합니다'라는 글귀 뿐이었지만, 그 뒤에서는 사용자가 모르는 사이 트로이 목마가 설치되고 있었다.

크로니스터는 “수많은 기업들이 QR 코드를 이용하고 있다. 이런 상황 속에서 사용자들은 어떻게 기업의 진짜 QR 코드와 해커들의 악성 코드를 구분할 수 있을까?”라고 물음을 던졌다.

 

또 다른 공격 가능성으로, APT가 합법적 웹사이트에 교차 사이트 스크립팅(cross-site scripting)을 이용해 정상적 QR코드의 자리에 악성 코드를 삽입하는 구멍을 만드는 것도 가능하다.

크로니스터는 “웹 브라우저가 정상 웹사이트를 끌어오는 상황에서 해커의 사이트를 참조한 QR 코드가 사이트의 일부를 구성 함으로써 브라우저가 둘 모두를 끌어올 수 있도록 할 위험이 있다”라고 설명했다.

악성 QR 코드를 통해 해커가 사용자의 휴대폰을 조작해 메시지나 GPS에 접근하거나 카메라를 실행하는, 또는 통화를 엿듣는 것 역시 가능하다.

크로니스터는 “스마트폰용 봇넷(botnet) 소프트웨어까지 발견되고 있는 상황이다. 이제 APT는 사용자들의 휴대폰 다른 시스템을 공격하는 봇넷으로 이용할 수도 있다. 휴대폰은 SMS 봇넷, 인터넷 봇넷 등의 일부로 무수한 타깃들을 공격하는데 이용될 것이다”라고 말했다.

CSO의 역할
현재 악성 QR 코드의 위협으로부터 기업을 보호할 가장 좋은 방법은 QR 코드 자체를 이용하지 않는 것이다.

크로니스터는 “사실 QR 코드는 수 많은 위협을 감수할 만큼 가치 있는 도구라 볼 수 없다. 그럼에도 반드시 이를 이용해야겠다고 마음 먹는다면, 안전성을 지속적으로 확인할 수 있는 구조를 설립하는 노력이 먼저 필요할 것이다”라고 조언했다.

직원들에게 QR 코드 이용 시 주의를 당부하는 교육 역시 피해 예방에 도움을 줄 수 있다.

크로니스터는 “BYOD 프로그램을 운영 중인 기업들에서는 특히 더 직원 교육에 신경 쓸 필요가 있다”라고 강조했다.

무선 게스트 네트워트를 인프라스트럭처의 여타 부분들과 분리하는, 또 핵심 데이터를 보유한 내부 네트워크를 여타 내부 네트워크들과 분리하는 노력 역시 필요하지만, 많은 기업들이 이러한 노력은 소홀히 하고 있는 것이 현실이다.

크로니스터는 “침투 테스트를 하다 보면 가장 빈번히 발견되는 취약점 가운데 하나가 바로 게스트 네트워크가 있음에도 불구하고 스마트폰들이 기업 네트워크에 연결되어 있는 구조다”라고 설명했다.

스마트폰을 비롯한 모바일 기기들에서도 백신, 안티 맬웨어 소프트웨어의 설치와 업데이트가 중요하다는 사실도 기억해야 한다.

크로니스터는 “많은 기업들이 기업 네트워크에 연결된 모든 시스템에 백신 소프트웨어 설치를 의무화하는 네트워크 정책을 적용하고 있다. 하지만 ‘아이폰도 해당이 되나요?’라고 물어보면, 많은 관리자들이 당황하거나 혹은 질문 자체를 이해하지 못한다. 스마트폰도 ‘기업 네트워크에 연결된 시스템'이다”라고 말했다.

장기적 솔루션
궁극적으로 기업들은 심도 있는 로그 파일 검토와 관련한 정책과 규정을 가다듬는 노력을 계속적으로 진행해나가야 할 필요성도 있다.

마망은 “이와 같은 노력을 통해 기업들은 내부 네트워크에 접근 기록이 있는 승인 스마트폰의 주인이 오늘 병가를 냈다는 등의 사실을 확인하는 것이 가능해질 것이다. 이 경우 네트워크는 자동으로 연결을 차단하고 IT는 추후 조사에 들어가게 된다”라고 설명했다.

그러나 아무리 철저한 정책이라도, 과신은 금물이다. 마망은 “어떤 문제건, 증거나 세부 정보는 부족할 수 있다”라고 강조했다.

번호 제목 글쓴이 날짜 조회 수
483 "더 은밀하고 솔직하게"…도발하는 3세대 SNS WindBoy 2013.10.17 335
482 팔로어 數 자랑은 옛말…'폐쇄형 SNS'가 뜬다 WindBoy 2013.09.24 654
481 북극 얼음 미스터리 WindBoy 2013.09.23 391
480 성층권 외계 생명체 "영국 과학자 주장…" WindBoy 2013.09.23 407
479 술·담배 세금 인상 '죄악세' 논란 WindBoy 2013.09.06 538
478 너무 어려운 착시 사진…'4장 같은 사진 1장' WindBoy 2013.08.29 446
477 나라별 해장 방법 WindBoy 2013.08.27 488
476 기업 경쟁력을 강화하는 IT 운영법 7가지 WindBoy 2013.08.21 369
475 “아무도 안 쓴다고?” QR 코드 활용 현황과 가치 [1] WindBoy 2013.08.21 519
» 새로운 보안 위협 'QR 코드' WindBoy 2013.08.21 419
473 MS는 왜 개발 끝낸 윈도우 8.1 공개를 2달 미뤘을까 WindBoy 2013.08.19 526
472 남북 이산가족 상봉 준비중 WindBoy 2013.08.16 899
471 하늘 나는 무중력 아기 사진 - 포토샵 WindBoy 2013.08.05 559
470 절묘한 애니멀 타이포그라피(Animal Typography)을 소개합니다. WindBoy 2013.08.05 2586
469 전원코드에 아이디어를 더하다 WindBoy 2013.08.05 654
468 쥐 두뇌에 '가짜 기억' 이식 성공 WindBoy 2013.07.26 433
467 땡처리 항공권의 메커니즘 WindBoy 2013.07.20 550
466 배터리의 원리와 미래 WindBoy 2013.07.15 502
465 개발자를 두렵게 하는 것들 Top 5 WindBoy 2013.07.15 440
464 “업무 효율성 향상의 첫걸음” 멀티모니터 환경 구축하기 WindBoy 2013.07.15 690