[김수연기자] 어느날 오후 A씨는 여느 때처럼 자신에게 온 메시지를 확인하려고 트위터에 접속했다. 낯선 계정으로부터 메시지를 받은 A씨. 내용이라고는 짤막한 URL 주소 한 줄이 전부였다.
A씨는 별 의심 없이 링크된 URL을 클릭했고 곧바로 영어로 된 웹페이지로 연결됐다. 여기에 포함된 다운로드 버튼을 클릭했더니 카드 결제에 필요한 정보를 요구하는 페이지가 떴다. A씨는 그제서야 자신이 '낚였다'는 것을 알게 됐고 찝찝한 마음에 재빨리 웹페이지를 닫았다.
이처럼 단축 URL을 이용해 신용카드 결제를 유도하는 스팸 메시지가 트위터에 유포 되면서 김씨와 같은 황당한 사례가 발견되고 있다. 소셜네트워크서비스(SNS) 사용자들이 증가함에 따라 이를 악용한 악성코드 유포 수법이 새롭게 등장한 것이다.
안철수연구소는 최근 발표한 ASEC 보안리포트 9월호를 통해 지난 달 '구글 단축 URL 서비스'를 이용한 악성코드 유포사례가 발생했다며 사용자들의 각별한 주의를 촉구했다.
'단축 URL 서비스(Shorten URL Service)'는 트위터, 페이스북과 같은 SNS에서 활발히 사용되고 있는 것으로 이를 이용하면 원본 URL을 짧게 변환함으로써 포스팅할 수 있는 글자 수를 좀 더 확보할 수 있다.
문제는 이 서비스가 악성코드를 유포하거나 광고성 웹페이지로 유인하는 데에 악용되고 있다는 것. 악성 단축 URL은 다른 악성 스크립트를 내려받는 URL을 포함하고 있고 이 URL에 접속한 PC가 지닌 취약점을 공격하는 스크립트가 동작한다. 해당 악성코드에 감염되면 윈도우 정상 파일(imm32.dll)을 교체하는 증상이 발생한다.
안철수연구소 측은 “단축 URL 서비스의 가장 큰 위험성은 바로 '단축 URL을 신뢰할 수 있는가?'라는 문제"라고 지적했다. 사용자가 원본 URL을 알 수가 없고 사용자에게 노출되는 URL은 이미 변환된 결과물이라 그 위험성을 판단할 수가 없다는 설명이다.
분명한 것은 트위터 이용자가 무심코 단축 URL을 클릭해 광고 창에 노출되거나 악성코드에 감염 될 경우 그 피해는 누구도 보상해 주지 않는다는 것이다. 또한 연결된 웹페이지에서 요구하는 개인 정보를 기재했을 경우 2차, 3차 피해가 발생할 수 있다. 입력된 정보가 어떠한 용도로 다시 이용될지 알 수 없기 때문이다.
안철수연구소 측은 트위터 상에서 잘 알지 못하는 사람으로부터 단축 URL이 포함된 메시지를 받았을 경우 각별히 주의해야 한다고 당부했다.
안철수연구소 황미경 부장은 “SNS 상에서 보안 조치를 취하지 않는 이상 개인 사용자들이 조심하는 수밖에 없다”며 “V3 모바일 백신 사용과 버전 업데이트를 통해 악성코드에 감염되는 것을 예방할 수 있다”고 말했다.
'단축 URL 서비스'와 더불어 새롭게 발견된 악성코드 유포 수법 가운데에는 ‘구글 플러스 SNS’ 위장 앱을 통한 것도 있었다. 이는 모바일을 통해 SNS을 이용하고자 하는 사용자를 겨냥한 수법이다.
구글 플러스(google+)로 위장한 안드로이드 악성 앱인 구글 플러스 플러스(google++)를 유포, 악성코드에 감염시키는 방식이다. 설치된 앱은 SMS, 통화명세, GPS 정보 수집 등의 동작을 시도한다고 회사 측은 분석했다.
안철수연구소 측에 따르면 이 위장 앱은 설치가 돼도 아이콘이 생성되지 않는다는 특징이 있다. 따라서 사용자는 스마트폰 환경설정에서 ‘응용프로그램 관리’를 통해 이 앱이 설치됐는지 여부를 확인할 수 있다.
한편 ‘구글 플러스 플러스’ 앱은 현재 안드로이드 마켓에서 퇴출된 상태다.
김수연기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기