블랙베리(BlackBerry Limited, CEO: 존 S 첸(John S. Chen))는 최근 발표한 새로운 모바일 멀웨어 보고서 ‘Mobile Malware and APT Espionage: Prolific, Pervasive, and Cross-Platform’을 통해 ‘지능형 지속 위협(Advanced Persistent Threat, APT)’이 기존의 데스크톱 멀웨어와 함께 어떻게 모바일 멀웨어를 활용하여 감시 활동과 스파이 활동 캠페인을 진행하고 있는지에 대한 분석 자료를 공개했다.

블랙베리 사일런스 최고 기술 책임자인 에릭 코넬리우스(Eric Cornelius)는 “이 보고서는 모바일 공격이 이전에 예상했던 것보다 훨씬 더 만연해있음을 증명한다”며, “모바일 멀웨어를 탐지하고 방지하기 위한 효과적인 보안 솔루션의 부재라는 고질적인 문제로 인해 지금까지 모바일 사용자들이 APT 그룹의 손쉬운 목표가 되어 왔다”고 밝혔다. 그는 또한 “모바일 사용자들을 대상으로 한 캠페인이 얼마나 체계적으로 오랫동안 지속되어왔는지에 대한 이번 연구 결과는 많은 사람들을 놀라게 할 것”이라고 덧붙였다.

이 보고서는 이전에 확인되지 않은 여러 가지 APT 공격 캠페인과 새로운 멀웨어군을 정의함으로써, 기존에 알려진 APT 그룹들에 의한 모바일 멀웨어 활동에 대한 타 조사 결과들의 부족함을 채웠다. 이번 연구는 중국, 이란, 북한 및 베트남과 연관이 있는 APT 그룹에 의한 모바일과 모바일/데스크톱 캠페인은 물론 정부 차원에서 진행된 두 개의 정체불명의 위협 요인(threat actors)에 대한 조사로, 경제 또는 정치적 목표를 위한 국내외 사용자를 대상으로 실시됐다.

보고서를 통해 새로 발표된 주요 정보는 다음과 같이 요약된다.

- BBCY-TA2로 불리는 새로 확인된 위협 행위자는 PWNWIN1으로 불리는 윈도우 멀웨어군과 PWNDROID3라고 불리는 안드로이드 멀웨어군을 활용하는 것으로 나타났다. PWNWIN1은 OPERATION DUALCRYPTOEX로 불리는 새로 확인된 크로스 플랫폼에서 유행되고 있는 것으로 드러났으며, 비트코인 캐싱 애플리케이션을 모방한 가짜 모바일 애플리케이션을 통해 배포되는 것으로 확인되었다.

- BBCY-TA3로 불리는 새로 확인된 위협 행위자는 BBCY-TA2와 함께 서구 및 남아시아에 위치한 다양한 국가의 통신 관련 기업뿐만 아니라, 중국을 제외한 거의 모든 국가의 화학 제조 회사 등 공격 인프라를 공유하고 있는 대상에 대한 경제 스파이 활동에 참여하는 것으로 나타났다.

- APT 그룹 중 하나인 OCEANLOTUS가 수행한 OPERATION OCEANMOBILE이라는 새로 확인된 크로스 플랫폼 스파이 활동 캠페인은 정교하게 개발된 세 가지 가짜 모바일 애플리케이션을 통해 PWNDROID1이라는 새로 확인된 안드로이드 멀웨어군을 이용하는 것으로 확인되었다.

- APT 그룹 중 하나인 BITTER의 OPERATION DUALPAK라는 새로 확인된 크로스 플랫폼 스파이 활동 캠페인은 파키스탄 군대를 대상으로 하고 있으며, 가자 애플리케이션, SMS, 왓츠앱(WhatsApp) 및 기타 소셜 미디어 플랫폼을 통해 배포되는 PWNDROID2라는 새로 확인된 모바일 멀웨어군을 활용하는 것으로 나타났다.

- 카슈미르 위기와 관련하여 주목받았던 CONFUCIUS의 크로스 플랫폼인 OPERATION CUALPAK2는 최근 채팅 애플리케이션의 자바스크립트 버전을 통해 배포된 윈도우 멀웨어군 PWNWIN2을 활용하여 파키스탄 정부와 군대를 대상으로 활동하는 것으로 드러났다.

모바일 디바이스의 종류가 다양해질수록 이용자가 저장해둔 민감한 데이터에 접근 역시 신속하고 용이해진 것으로 밝혀졌다. 또 보고서는 이전에 정부 차원에서 지원하여 활동하는 APT의 범위가 이전에 알려진 것처럼 공격에만 한정된 것이 아니라 훨씬 더 광범위하다는 것을 강조하고 있다.

여기에 APT 그룹이 기존 데스크톱 멀웨어 캠페인과 함께 모바일 멀웨어를 적극적으로 사용하고 있으며, 대상이 뚜렷하게 다른 경우에도 공격 인프라를 공유하고 있고, 일부 APT는 초점을 국내에서 해외로 바꾸고 있다고 밝혔다.

블랙베리 최고 보안 책임자 브라이언 로비슨(Brian Robison)은 “조직과 소비자 모두 자신의 정보뿐만 아니라 그들이 거주하는 국가의 안전과 보안에 어떤 의미가 있는지에 대해 심각하게 고민을 해야한다“며, 이번 연구 결과를 통해 “모바일 기기를 대상으로 하는 익스플로잇 시장이 급격히 성장해온 것이 분명해졌으며, 블랙베리가 발견한 데스크톱 멀웨어 캠페인과 관련 있는 모바일 멀웨어의 규모를 통해 여러 국가에서 모바일 캠페인이 진행되고 있음이 극명하게 드러났다”고 전했다. 그는 또한 “기업은 모바일 환경을 보호하고 안전하게 만들기 위해 최첨단 기술을 활용하는 것이 필수적”이라고 강조했다.