하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

정상적인 MDM으로 연령 제한 바꾸는 새로운 공격법
등록일 :
2018.09.07
프로파일 만들어 앱의 사용 가능 연령 바꿔서 정상 앱 가리고
미리 설치한 비정상 앱 사용하게 함으로써 정보 훔쳐 내


[보안뉴스 문가용 기자] 악성 행위자들이 오픈소스 모바일 장비 관리(MDM) 시스템을 사용해 정상적인 iOS 기능을 어뷰징하고, 이를 통해 정상적인 애플리케이션을 숨김으로써 사용자들이 악성 앱을 대신 사용하도록 유도한다는 내용이 발표됐다.

[이미지 = iclickart]


이는 보안 업체 탈로스(Talos)의 보안 전문가들이 지난 7월 제일 처음 발견한 것으로, 당시 다섯 개의 악성 앱들이 이 공격에 연루된 것으로 밝혀졌다. 앱스에스로더(AppsSLoader), 텔레그램(Telegram), 왓츠앱(WhatsApp), 프레이타임(PrayTime), 마이앱(MyApp)이었고, 전부 iOS 장비에 설치돼 메시지를 훔쳐냈다.

MDM의 작동 원리를 생각했을 때 이러한 가짜 애플리케이션들이 설치된 경로는 두 가지 중 하나였다. 공격자가 직접 장비에 접근해 설치했거나, 고도로 발전된 소셜 엔지니어링 공격 기술이 바로 그것이다. MDM에 앱을 등록시키려면 매 단계마다 사용자가 개입해야 하기 때문이다. 여기까지가 7월에 발표된 내용이다.

그리고 탈로스는 다시 한 번 MDM 솔루션이 악용됐으며, 이를 통해 공격자들이 피해자의 장비를 통제할 수 있었다고 발표했다. 이번에는 공격자들이 MDM을 통한 기기 통제로, 새로운 프로파일을 기기들에 등록시켰다는 새로운 내용이 포함됐다. 프로파일을 새롭게 만든 후에는 iOS의 연령 제한 기능을 사용해 정상적인 앱들을 숨겼다고 한다.

왓츠앱과 텔레그램의 경우 연령 제한이 존재한다. 각각 12세와 17세다. 그런데 공격자들은 MDM을 통해 이를 9살로 바꿨다. 두 앱 모두 정상적으로 노출되지 않게 한 것이다. 그러므로 피해자는 정상 앱 대신 가짜 왓츠앱과 가짜 텔레그램을 누를 수밖에 없게 된 환경에 노출됐다.

“정상 앱들이 기기에서 삭제된 게 아닙니다. 그대로 남아있어요. 다만 접근할 수가 없는 상태가 된 것이죠. 사용자가 검색 기능을 통해 찾아내더라도 열리지 않아요. 이런 식의 공격이 존재함을 모바일 사용자들은 전부 알고 있어야 합니다. MDM 솔루션을 통해 연령 제한을 누군가 임의로 바꿔서 가짜 앱을 사용할 수밖에 없도록 하는 이 교묘한 방식을요.” 탈로스 측의 설명이다.

iOS는 프로파일을 통해 여러 가지 환경 설정을 할 수 있도록 한다. MDM에 등록시키는 과정 역시 프로파일을 통해 진행된다. 프로파일은 만들기 쉽고, 애플은 심지어 공식 프로파일 생성 툴도 제공한다. 그리고 감독형 기기(supervised device)의 프로파일을 통해서는 앱 사용을 통제하는 것도 가능하다.

프로파일은 애플의 컨피겨레이터(Apple Configurator)를 통해 수동으로 설치할 수 있다. 혹은 사파리를 통해 프로파일 XML을 여는 것도 많이 사용하는 방법이다. 프로파일이 설치되면 Settings -> General -> Profile 메뉴에 새로운 프로파일이 생기는 걸 확인할 수 있다. 하지만 MDM으로 프로파일을 생성하면 이 메뉴에 새로운 프로파일이 나타나지 않는다. MDM 등록 프로파일들만 나타난다.

탈로스는 “이 공격에서 놓치지 말아야 할 건, 악성 멀웨어가 이 공격에 개입되지 않는다는 것”이라고 짚는다. “취약점이나 제로데이를 악용하는 것도 아닙니다. 정상적인 MDM 솔루션을 정상적으로 사용해 피해자들을 속이는 것입니다. 즉 솔루션의 남용이라고 볼 수 있죠. 그러므로 탐지가 쉽지 않습니다.”

MDM이 적용된 기기의 사용자들은 MDM 프로파일의 상태를 확인하는 방법으로 이에 대응할 수 있다. Settings -> General -> Profiles & Device Management -> 해당 MDM 설정을 통해 MDM 프로파일로 설치된 애플리케이션들의 제한 사항 등을 열람하는 게 가능하다. Profile & Device Management 메뉴가 없다면 MDM에 등록되지 않은 것이라고 보면 된다.

3줄 요약
1. MDM 통해 모바일 앱의 사용 연령을 조정하면 앱이 화면에서 사라진다.
2. 그러면 똑같이 생긴 가짜 앱을 실행할 수밖에 없게 된다. 이 가짜 앱은 사전에 미리 설치됐다.
3. MDM이 설치된 모바일 기기 사용자들은 MDM 환경설정 상태를 주기적으로 확인해야 한다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top