2013.08.23

새로운 보안 위협, 'QR 코드'

David Geer | CSO

최종 사용자의 컴퓨팅 기기 가운데 모바일 기기, 특히 스마트폰이 차지하는 비중은 점점 더 늘어가고 있다. 더불어 지능형 지속 위협(APT, Advanced Persistent Threat)의 초점 역시 점점 더 모바일 시장으로 옮겨가고 있다.

비트디펜더(BitDefender)의 최고 보안 연구원 캐털린 코소이는 “우리가 허니팟(honeypot)을 통해 수집한 모바일 위협 분석 결과에 따르면, 2012년 모바일 맬웨어의 증가율은 100%를 넘겼다”라고 말했다.

모바일 기기 시장은 악의적 해커들에겐 더할 나위 없이 좋은 표적이 되고 있다. 과거 초기 PC 시장보다 급격한 성장세를 보이면서도 대부분의 수요가 최종 사용자들로부터 창출됨에 따라 보안 소프트웨어 설치가 상대적으로 소홀한 경우가 많기 때문이다. 그들이 공격에 즐겨 이용하는 도구 중 하나로는 <악성 QR 코드>가 있다.



악성 QR 코드란?
해커들은 맬웨어가 포함된 웹사이트로의 링크가 포함된 QR(Quick Response, 신속 대응) 코드를 배포하는 전략으로 모바일 기기들을 공격한다.

여러 컨퍼런스에서 악성 QR 코드의 위험성을 지적해 온 그린SQL(GreenSQL)의 설립자이자 CTO 데이빗 마망은 “사용자가 어떻게 QR 코드를 스캔, 수집하건, 궁극적으로 이를 링크로 변환하는 것은 개별 기기다”라고 말했다. 그에 따르면 웹 링크는 이후 트로이 목마로 사용자 기기를 감염시키게 된다.

네트워크 보안 수준 감사를 위한 침투 테스트 서비스를 제공하는 파라미터 시큐리티(Parameter Security)의 선임 해커 데이브 크로니스터는 “공격은 주로 자바스트립트 트로이 목마를 통해 이뤄진다. 웹사이트에 접속하면, 자바스크립트가 자동으로 실행되고, 트로이 목마가 시스템에 침투하는 방식이다”라고 설명했다.

모바일 기기에 침투한 트로이 목마는 데이터 유출이 가능한 여타 위협 지점들을 해커의 서버에 자동으로 전송하게 된다.

오늘날 시중에는 다수의 자동 QR 코드 제작 툴이 무료로 배포되고 있기 때문에 해커들은 굳이 제작에 노력을 쏟을 필요도 없다.

공격 매개체/감염 지점
이렇게 악성 QR 코드를 제작한 뒤 해커들은 그것을 기업 고객들의 의뢰로 적법한 코드를 제작하는 마케팅 업체들을 통해 사용자들에게 배포하는 전략을 취해왔다.

그러나 이제는 여기에서 한 발 더 나아가기도 한다. 마케팅 업체의 시스템을 탈취한 뒤 그들이 의뢰를 받아 제작한 코드를 자신들이 제작한 악성 코드로 대체해 대신 배포하는 것이다. 이 경우 사건의 책임이 QR 코드를 의뢰한 기업들에게 전가 된다는 점 역시 새로운 문제가 된다.

오늘날 많은 QR 코드 제작 무료 앱들이 배포되고 있다는 사실 역시 문제를 야기할 수 있다.

크로니스터는 “QR 코드 제작을 도와준다고 홍보하면서 사실은 거기에 사람들을 기기에 맬웨어를 주입 시키는 2차 사이트로 이끄는 자바스크립트를 추가하는 수법을 어떻게 막을 수 있을까?”라며 우려를 표했다.

또한 이렇게 악성 QR 코드를 통해 감염된 스마트폰이 기업 네트워크에 대한 접근권을 부여 받게 되는 경우에는, 휴대폰의 데이터 연결을 통해 기업까지 맬웨어에 노출되게 된다는 위협 시나리오 역시 실현 가능하다.

새로운 공격 매개체, 그 소름 돋는 결과
악성 QR 코드는 피싱 공격에도 이용될 수 있다. 길거리에서 ‘QR 클럽에 가입하고 무료 샌드위치 받으세요!’라는 홍보 문구가 적힌 서브웨이 샌드위치의 명함을 받은 적이 있는가? 그 옆에 그려진 QR 코드는, 사실 사기 악성 코드였던 사례가 있다. 코드를 통해 들어간 링크에서 스크린에 표시한 것은 ‘클럽 가입을 축하합니다'라는 글귀 뿐이었지만, 그 뒤에서는 사용자가 모르는 사이 트로이 목마가 설치되고 있었다.

크로니스터는 “수많은 기업들이 QR 코드를 이용하고 있다. 이런 상황 속에서 사용자들은 어떻게 기업의 진짜 QR 코드와 해커들의 악성 코드를 구분할 수 있을까?”라고 물음을 던졌다.
 



2013.08.23

새로운 보안 위협, 'QR 코드'

David Geer | CSO

최종 사용자의 컴퓨팅 기기 가운데 모바일 기기, 특히 스마트폰이 차지하는 비중은 점점 더 늘어가고 있다. 더불어 지능형 지속 위협(APT, Advanced Persistent Threat)의 초점 역시 점점 더 모바일 시장으로 옮겨가고 있다.

비트디펜더(BitDefender)의 최고 보안 연구원 캐털린 코소이는 “우리가 허니팟(honeypot)을 통해 수집한 모바일 위협 분석 결과에 따르면, 2012년 모바일 맬웨어의 증가율은 100%를 넘겼다”라고 말했다.

모바일 기기 시장은 악의적 해커들에겐 더할 나위 없이 좋은 표적이 되고 있다. 과거 초기 PC 시장보다 급격한 성장세를 보이면서도 대부분의 수요가 최종 사용자들로부터 창출됨에 따라 보안 소프트웨어 설치가 상대적으로 소홀한 경우가 많기 때문이다. 그들이 공격에 즐겨 이용하는 도구 중 하나로는 <악성 QR 코드>가 있다.



악성 QR 코드란?
해커들은 맬웨어가 포함된 웹사이트로의 링크가 포함된 QR(Quick Response, 신속 대응) 코드를 배포하는 전략으로 모바일 기기들을 공격한다.

여러 컨퍼런스에서 악성 QR 코드의 위험성을 지적해 온 그린SQL(GreenSQL)의 설립자이자 CTO 데이빗 마망은 “사용자가 어떻게 QR 코드를 스캔, 수집하건, 궁극적으로 이를 링크로 변환하는 것은 개별 기기다”라고 말했다. 그에 따르면 웹 링크는 이후 트로이 목마로 사용자 기기를 감염시키게 된다.

네트워크 보안 수준 감사를 위한 침투 테스트 서비스를 제공하는 파라미터 시큐리티(Parameter Security)의 선임 해커 데이브 크로니스터는 “공격은 주로 자바스트립트 트로이 목마를 통해 이뤄진다. 웹사이트에 접속하면, 자바스크립트가 자동으로 실행되고, 트로이 목마가 시스템에 침투하는 방식이다”라고 설명했다.

모바일 기기에 침투한 트로이 목마는 데이터 유출이 가능한 여타 위협 지점들을 해커의 서버에 자동으로 전송하게 된다.

오늘날 시중에는 다수의 자동 QR 코드 제작 툴이 무료로 배포되고 있기 때문에 해커들은 굳이 제작에 노력을 쏟을 필요도 없다.

공격 매개체/감염 지점
이렇게 악성 QR 코드를 제작한 뒤 해커들은 그것을 기업 고객들의 의뢰로 적법한 코드를 제작하는 마케팅 업체들을 통해 사용자들에게 배포하는 전략을 취해왔다.

그러나 이제는 여기에서 한 발 더 나아가기도 한다. 마케팅 업체의 시스템을 탈취한 뒤 그들이 의뢰를 받아 제작한 코드를 자신들이 제작한 악성 코드로 대체해 대신 배포하는 것이다. 이 경우 사건의 책임이 QR 코드를 의뢰한 기업들에게 전가 된다는 점 역시 새로운 문제가 된다.

오늘날 많은 QR 코드 제작 무료 앱들이 배포되고 있다는 사실 역시 문제를 야기할 수 있다.

크로니스터는 “QR 코드 제작을 도와준다고 홍보하면서 사실은 거기에 사람들을 기기에 맬웨어를 주입 시키는 2차 사이트로 이끄는 자바스크립트를 추가하는 수법을 어떻게 막을 수 있을까?”라며 우려를 표했다.

또한 이렇게 악성 QR 코드를 통해 감염된 스마트폰이 기업 네트워크에 대한 접근권을 부여 받게 되는 경우에는, 휴대폰의 데이터 연결을 통해 기업까지 맬웨어에 노출되게 된다는 위협 시나리오 역시 실현 가능하다.

새로운 공격 매개체, 그 소름 돋는 결과
악성 QR 코드는 피싱 공격에도 이용될 수 있다. 길거리에서 ‘QR 클럽에 가입하고 무료 샌드위치 받으세요!’라는 홍보 문구가 적힌 서브웨이 샌드위치의 명함을 받은 적이 있는가? 그 옆에 그려진 QR 코드는, 사실 사기 악성 코드였던 사례가 있다. 코드를 통해 들어간 링크에서 스크린에 표시한 것은 ‘클럽 가입을 축하합니다'라는 글귀 뿐이었지만, 그 뒤에서는 사용자가 모르는 사이 트로이 목마가 설치되고 있었다.

크로니스터는 “수많은 기업들이 QR 코드를 이용하고 있다. 이런 상황 속에서 사용자들은 어떻게 기업의 진짜 QR 코드와 해커들의 악성 코드를 구분할 수 있을까?”라고 물음을 던졌다.
 



X