서비스로서의 Dropper란 무엇입니까? 악성코드 개발자를 위한 배송 서비스
악성 소프트웨어 기술이 진화함에 따라, 사이버 공격을 시도하는 악의적인 행위자들이 제공하는 서비스 또한 증가하고 있습니다. 사용자가 인지하지 못하는 사이에 장치에 악성 코드를 몰래 심으려는 시도가 있을 때, 이를 용이하게 하는 서비스로 드로퍼를 제공하는 사람이 고용될 수 있습니다.
이러한 맥락에서, '서비스형 드롭퍼(Dropper as a Service)'의 의미와 이를 예방하는 방법을 자세히 알아보겠습니다.
드롭퍼란 무엇인가?
드롭퍼는 겉으로는 무해해 보이지만 내부에 숨겨진 위험한 요소를 가진 일종의 트로이 목마 바이러스입니다. 트로이 목마는 사용자나 시스템을 속여 무해하다고 믿게 만드는 특징을 공유합니다. 이것이 바로 역사적으로 유명한 트로이 목마의 이름을 따서 명명된 이유입니다.
드롭퍼 자체에는 악성 코드가 내장되어 있지 않습니다. 즉, 바이러스 백신 프로그램으로 드롭퍼 프로그램을 검사해도 악성 프로그램으로 감지되지 않습니다. 이 단계에서 드롭퍼 프로그램은 사용자의 PC에 스스로 설치를 시도하며, 특정 서비스와 파일에 접근 권한을 요청합니다.
사용자는 드롭퍼 소프트웨어를 무해하다고 믿고 필요한 접근 권한을 부여하게 됩니다. 이 순간부터 드롭퍼 악성코드는 다음 단계로 넘어가 악성코드 다운로드 서버에 연결합니다. 그런 다음, 새로 얻은 권한을 악용하여 대상 시스템에 악성 코드를 설치하고, 의심을 피하거나 감지를 어렵게 만듭니다.
이러한 악성 코드 변종에 대해 더 깊이 알고 싶다면, 트로이 목마 드롭퍼의 본질을 자세히 살펴보시기 바랍니다.
"서비스형 드롭퍼"란 무엇인가?
'서비스형 드롭퍼'는 악의적인 행위자들이 암시장에서 판매하는 다양한 서비스 중 하나입니다. 맬웨어 세계에서는 '서비스로'라는 접미어가 붙은 용어를 들어본 적이 있을 것입니다. 예를 들어 '서비스형 랜섬웨어'와 같은 용어가 있습니다.
이 경우, 드롭퍼를 서비스로 제공하는 사람은 드롭퍼 프로그래밍에 뛰어난 기술을 가지고 있으며 자신의 전문 지식을 암시장에 제공하려는 의도를 가지고 있습니다. 그들의 주요 고객은 악성 코드 페이로드를 설계했지만, 이를 사용자 장치에 적용하는 데 어려움을 겪는 악성 코드 개발자들입니다. 이러한 개발자들은 바이러스 백신 솔루션을 우회하여 악성 코드를 전달하기 위해 드롭퍼 제공자를 찾습니다.
드롭퍼 서비스는 암시장에서 매우 저렴하게 거래될 수 있습니다. 한 보고서에 따르면, 드롭퍼 서비스가 1,000건의 악성 코드 전달에 대해 단 2달러를 청구하는 사례가 있었습니다. 이는 피해자로부터 돈을 빼앗는 악성 코드를 개발하는 사람들에게는 매우 적은 비용입니다.
그러나 '서비스'라는 용어로 끝나는 모든 것이 나쁜 것은 아니라는 점을 이해하는 것이 중요합니다. 예를 들어, '서비스형 인공지능(AI)'과 같이 기업과 고객이 악의적이지 않은 목적으로 AI 솔루션을 활용할 수 있는 사례도 있습니다.
서비스형 드롭퍼의 예: SecuriDropper
서비스형 드롭퍼가 어떻게 작동하는지 더 잘 이해하기 위해 실제 사례를 살펴보겠습니다. SecuriDropper는 안드로이드 휴대폰을 대상으로 하는 악성 드롭퍼로, 악성 코드를 사용하여 휴대폰을 감염시키는 불쾌한 변종입니다.
Bleeping Computer의 보고에 따르면, SecuriDropper는 안드로이드 14의 특정 보안 장치를 우회하도록 설계되었습니다. 공식 구글 플레이 스토어에서 제공되지 않은 앱을 설치하려고 하면 접근성 설정과 같은 휴대폰의 민감한 기능에 접근할 수 없습니다.
이러한 문제를 해결하기 위해 악성 코드 개발자들은 무해해 보이는 앱에 SecuriDropper를 포함시키고, 이를 타사 웹사이트에 업로드합니다. SecuriDropper를 포함한 일부 앱은 일반적으로 사용되는 앱으로 위장합니다. 예를 들어, 구글 번역 앱을 사칭하는 사례가 발견되었습니다. 앱 자체에는 악성 코드가 포함되어 있지 않기 때문에 바이러스 백신 검사에서 감지되지 않습니다.
이후 피해자가 앱을 다운로드하고 설치를 시도하면, 앱은 휴대폰 저장 공간에 접근할 수 있는 권한을 요청합니다. 만약 허용된다면, 앱은 설치에 실패했다는 허위 오류 메시지를 표시합니다. 그리고 사용자에게 버튼을 보여주며, 이 버튼을 누르면 앱이 자동으로 재설치된다고 주장합니다.
사용자가 버튼을 누르는 순간, 드롭퍼는 악성코드 다운로드 서버에 페이로드를 설치하라는 신호를 보냅니다. 사용자가 앱에 휴대폰 저장 공간에 접근할 수 있는 권한을 이미 부여했기 때문에, 드롭퍼는 안드로이드 14가 이것을 타사 소스의 앱으로 인식하지 못하게 하는 방식으로 악성 코드를 설치할 수 있습니다.
이를 통해 앱은 일반적으로 타사 앱이 요청할 수 없는 권한을 요구할 수 있게 됩니다. 사용자가 이를 승인하면 악성 코드는 계획을 실행하는 데 필요한 모든 권한을 획득하게 됩니다.
SecuriDropper는 다양한 형태의 악성 코드 유포에 관여해 왔습니다. 예를 들어, 일부 변종은 휴대폰 데이터를 훔쳐볼 수 있는 SpyNote를 설치하고, 다른 변종은 가짜 크롬 브라우저로 위장한 뱅킹 트로이 목마를 설치합니다.
드롭퍼 악성코드로부터 안전을 지키는 방법
드롭퍼 악성 코드는 무섭게 들릴 수 있지만, 주로 타사 웹사이트에서 유포되는 경향이 있습니다. 따라서 항상 공식 소스에서 앱을 다운로드하는 것이 가장 안전한 방법입니다.
PC를 사용하는 경우에도 공식 소스에서만 앱을 설치해야 합니다. 일반적으로 앱은 개발자 웹사이트에서 찾을 수 있지만, 개발자가 다운로드 처리를 위해 외부 호스트를 사용하는 경우도 있습니다. 만약 의심스럽다면, 웹사이트에서 앱을 다운로드하기 전에 해당 웹사이트의 안전성을 다시 한번 확인해야 합니다.
운영체제에 앱 스토어가 포함되어 있다면, 해당 스토어에서 앱을 다운로드하는 것이 타사 웹사이트에서 다운로드하는 것보다 훨씬 안전합니다. 마이크로소프트 스토어와 구글 플레이와 같은 마켓플레이스는 드롭퍼와 같은 위협으로부터 사용자를 보호하기 위한 보안 조치를 제공합니다.
하지만 공식 앱 스토어에서 제공되는 모든 앱을 무조건 신뢰해서는 안 됩니다. 악성 코드 개발자들은 악성 앱을 이러한 앱 스토어에 몰래 넣는 방법을 찾아내기 때문에, 구글 플레이조차 100% 안전하다고 할 수 없습니다.
다행히 구글 플레이에서 가짜 안드로이드 앱을 식별하기 위해 취할 수 있는 조치들은 다른 앱 스토어에도 적용될 수 있습니다. 앱에 대해 조금이라도 불안한 느낌이 든다면, 다운로드하지 않는 것이 좋습니다.
드롭퍼 악성코드 대처하기
드롭퍼는 위험한 존재이지만, 앱을 다운로드할 때 올바른 온라인 습관을 유지함으로써 충분히 방어할 수 있습니다. 그리고 이제 드롭퍼가 서비스로 제공되고 있기 때문에, 이러한 위협에 대처하는 것이 더욱 중요해졌습니다.