사이버 범죄자가 현실 세계에서 `포켓몬 트레이너`가 되고 싶은 이들을 노린다. 스마트폰 증강현실(AR) 게임 `포켓몬 고`가 선풍을 일으키며 인기를 끄는 가운데 악성코드가 담긴 위·변조 애플리케이션(앱) 설치파일(APK)이 유포됐다. 아직 공식 출시되지 않은 국내는 블로그, 웹사이트, 온라인 커뮤니티 등 비공식 경로로 포켓몬 고 APK 파일이 유통돼 주의가 필요하다.
14일 업계에 따르면 포켓몬 고 인기를 타고 관련 악성코드가 속속 발견됐다. 클라우드 기반 악성코드 분석 플랫폼 멀웨어즈닷컴은 포켓몬 고와 같은 이름으로 위장한 악성 APK를 여러 건 수집했다. 해외 보안 업체에서도 포켓몬 고 관련 비공식 APK 파일의 위험성을 경고했다.
네이버 등 검색포털에는 국내에서 포켓몬 고를 스마트폰에 설치하고 이용하는 방법에 대한 문의가 줄을 잇는다. 공식 앱 마켓에서 구입할 수 없기 때문에 APK를 내려 받아 스마트폰에 직접 설치하는 방안이 해결책으로 꼽힌다. 일부 블로그와 온라인 커뮤니티 등에서는 설치 방법과 APK 파일을 첨부해 제공하고 있다.
문제는 APK 파일 안전성과 신뢰성을 검증하기 어렵다는 점이다. 위치정보와 카메라 등 포켓몬 고 게임 자체가 기본으로 많은 데이터 접근 권한을 요구하는 데다 해커가 위조·변조한 파일을 구분해 내기 쉽지 않다. 일부 악성 APK는 앱 아이콘과 실행 초기화면까지만 정상과 동일하고 이후 게임 진행은 안 된다.
김기홍 세인트시큐리티 대표는 “다양한 경로로 멀웨어즈닷컴에 포켓몬 고 관련 악성 APK가 수집되고 있다”면서 “자세한 악성 행위에는 좀 더 분석이 필요하지만 정상 포켓몬 고 설치파일과 동일한 이름에다 각종 정보를 빼내는 기능을 내부에 담고 있다”고 경고했다.
해외 보안업체 프루프포인트, 맥아피 등은 `드로이드잭`이 포함된 안드로이드 버전 포켓몬 고 APK를 발견했다. 드로이드잭은 원격 접근 툴(RAT)의 일종이다. 감염된 스마트폰에서 주소록과 통화 기록을 훔쳐보고 사진 촬영, 녹음 등 원격 조작이 가능하다. 게임 실행에 요구되는 접근권한과 구분하기 어려워 피해자가 감염 사실을 인식하지 못한다.
프루프포인트는 악성 APK 판별 방법의 하나로 앱 해시값과 권한 허용 항목 등을 살펴볼 것을 제시했다. 일반인이 활용하기는 사실상 불가능할 것으로 보인다. 보안 전문가는 비공식 경로로 `알 수 없는 출처`의 APK 설치는 언제나 위험하다고 경고한다. 하지만 강원도 속초 등 일부 지역에서 포켓몬스터가 등장한다는 소식이 알려지면서 게임 설치가 빠르게 늘고 있어 악성코드 감염 위험도 한동안 계속될 전망이다.
박찬암 스틸리언 대표는 “공식 앱으로 위장한 APK 외에도 더 많은 몬스터가 나타난다든가 쉽게 잡을 수 있다는 식으로 변조한 악성 앱이 등장할 가능성이 크다”면서 “어떤 상황에서도 APK 직접 설치를 이용한 비공식 앱은 위험하다”고 주의를 당부했다.
박정은기자 jepark@etnews.com
