멀웨어바이트가 구글 보안 페이지로 위장한 악성 웹사이트를 통해 유포되는 초정교 브라우저 기반 감시 악성코드에 대해 경고했습니다. 이 악성코드는 윈도우, 애플, 안드로이드 기기를 감염시켜 클립보드, GPS, SMS 인증 코드, 심지어 키 입력까지 탈취하며 백그라운드에서 지속적으로 작동하여 개인 정보 유출의 심각한 위협이 됩니다.
최근 사이버 보안 업계에 비상이 걸렸습니다. 보안 전문 기업 멀웨어바이트(Malwarebytes)는 구글 계정 보안 페이지로 위장한 악성 웹사이트가 ‘지금까지 발견된 브라우저 기반 감시 도구 중 가장 정교한 것 중 하나’로 추정되는 악성코드를 유포하고 있다고 경고했습니다. 이 악성코드는 윈도우, 애플, 구글 안드로이드 기기를 가리지 않고 감염시켜 심각한 개인 정보 유출을 야기할 수 있습니다.
가짜 구글 페이지로 시작되는 은밀한 침투
멀웨어바이트가 공개한 정보에 따르면, 이 공격은 마치 실제 구글 계정 보안 점검 페이지처럼 보이며, 구글의 익숙한 디자인과 공식적인 도메인처럼 위장하여 사용자를 속입니다. 초기 침투는 사용자가 가짜 보안 페이지에 접속하면서 시작됩니다.
이후 사용자에게 “보안 소프트웨어” 설치를 유도하는 프롬프트가 나타나며, 이는 PWA(Progressive Web App) 형태로 진행됩니다. 네 단계에 걸쳐 진행되는 이 과정에서 공격자는 알림, 연락처 목록, 실시간 GPS 위치, 심지어 호스트 기기의 클립보드 내용까지 접근 권한을 점진적으로 얻게 됩니다.
— 광고 —
탭을 닫아도 멈추지 않는 감시
피해자가 PWA를 설치하고 요청된 권한을 부여하면, 단순히 웹 페이지 탭을 닫는 것만으로는 악성코드의 접근을 막을 수 없습니다. 페이지 스크립트 자체는 앱이나 탭이 열려 있는 동안 계속 실행되며, 클립보드를 읽어 ‘일회성 비밀번호’와 ‘암호화폐 지갑 주소’를 탐색합니다. 또한, 모바일 기기에서는 SMS 인증 코드를 가로채려 시도하고, 30초마다 API를 폴링하며 공격자의 명령을 기다립니다.
더욱 심각한 것은 앱이나 탭이 닫혀도 별도의 서비스 워커(Service Worker)가 백그라운드에서 악성 데이터 탈취 작업을 실행한다는 점입니다. 심지어 기기가 오프라인 상태가 되면 훔친 데이터를 로컬에 저장해두었다가, 인터넷 연결이 복원되는 즉시 공격자에게 전송하는 치밀함을 보입니다.
멀웨어바이트는 “브라우저 탭을 닫으면 페이지 스크립트와 클립보드 모니터링, SMS 가로채기는 즉시 중단되지만, 서비스 워커는 여전히 등록된 상태로 남아있다”고 설명했습니다. 피해자가 알림 권한을 부여했다면, 공격자는 앱을 다시 열지 않고도 몰래 서비스 워커를 깨워 새로운 작업을 지시하거나 데이터를 업로드하도록 할 수 있습니다. 만약 피해자가 해당 앱을 다시 실행하면, 데이터 수집은 즉시 재개됩니다.
이미지 출처: 원문 기사
기업 네트워크 침투 및 안드로이드 기기 집중 공격
이 악성코드는 웹소켓 릴레이(WebSocket Relay) 기능도 수행합니다. 이는 HTTP 프록시 역할을 하여 기업 네트워크에 접근하는 데 사용될 수 있음을 의미합니다. IP 기반 접근 제어를 우회하고 피해자의 IP 주소를 통해 트래픽을 전달함으로써, 공격자는 마치 피해자가 자신의 네트워크에서 브라우징하는 것처럼 임의의 웹 요청을 라우팅할 수 있게 됩니다.
안드로이드 기기에서는 상황이 더욱 심각합니다. “중요 보안 업데이트”로 위장한 별도의 APK 파일이 설치되는데, 여기에는 키 입력 내용을 캡처하는 커스텀 키보드, 2단계 인증 코드를 가로채는 알림 리스너, 화면 콘텐츠를 관찰할 수 있는 접근성 서비스, 사용자 인증 정보 자동 완성 요청을 가로채는 서비스가 포함됩니다. 물론, 마이크 녹음 기능도 빠지지 않습니다.
이처럼 전례 없이 포괄적인 기능을 갖춘 악성코드는 제거 과정 또한 복잡합니다. 멀웨어바이트는 윈도우 및 macOS 사용자를 위한 크롬, 파이어폭스, 사파리 등 브라우저별 제거 지침과 함께, 안드로이드 및 iOS 모바일 기기에서 감염되었을 경우의 조치 사항을 단계별로 제공하고 있습니다.
배경: 지능화되는 사이버 위협에 대한 경각심
최근 사이버 공격은 점점 더 교묘해지고 정교해지는 추세입니다. 특히 구글과 같은 신뢰도 높은 서비스의 보안 페이지를 사칭하는 수법은 사용자들이 쉽게 속아 넘어갈 수 있어 더욱 위험합니다. PWA와 서비스 워커 같은 웹 기술을 악용하여 백그라운드에서 지속적인 감시를 가능하게 하는 이번 악성코드는 기존의 악성코드보다 훨씬 은밀하고 강력한 위협으로 평가됩니다.
전망: 개인의 보안 의식 강화가 최우선
이처럼 고도화된 위협에 맞서기 위해서는 사용자 개개인의 보안 의식 강화가 필수적입니다. 출처가 불분명한 앱이나 소프트웨어는 설치를 지양하고, 웹사이트 접속 시에는 URL을 면밀히 확인하는 습관을 들여야 합니다. 또한, 시스템 및 보안 소프트웨어를 항상 최신 상태로 유지하고, 중요한 계정에는 2단계 인증을 설정하는 등의 기본적인 보안 수칙을 철저히 지키는 것이 중요합니다. 이번 멀웨어바이트의 경고는 디지털 환경에서 개인 정보 보호의 중요성을 다시 한번 상기시키는 계기가 될 것입니다.
와, 구글 보안 페이지로 위장한 악성코드라니 정말 무섭네요! 😱 PWA랑 서비스 워커까지 이용해서 탭을 닫아도 계속 감시한다니, 이거 완전 게임 속 아이템처럼 은밀하게 침투하는 거 아닌가요? 궁금한 게, 이런 악성코드에 감염됐을 때 PC나 모바일에서 알림 권한 같은 걸 이미 부여했다면, 다시 실행하지 않아도 공격자가 몰래 깨워서 데이터를 훔쳐갈 수 있다는 건가요? 안드로이드에서는 키보드, 알림 리스너, 접근성 서비스까지 동원한다니 이건 거의 사기죄 레벨인데… 😨 게임 뉴스를 주로 보지만 이런 보안 소식도 정말 중요하네요!
와, 구글 보안 페이지로 위장한 악성코드라니 정말 무섭네요! 😱 PWA랑 서비스 워커까지 이용해서 탭을 닫아도 계속 감시한다니, 이거 완전 게임 속 아이템처럼 은밀하게 침투하는 거 아닌가요? 궁금한 게, 이런 악성코드에 감염됐을 때 PC나 모바일에서 알림 권한 같은 걸 이미 부여했다면, 다시 실행하지 않아도 공격자가 몰래 깨워서 데이터를 훔쳐갈 수 있다는 건가요? 안드로이드에서는 키보드, 알림 리스너, 접근성 서비스까지 동원한다니 이건 거의 사기죄 레벨인데… 😨 게임 뉴스를 주로 보지만 이런 보안 소식도 정말 중요하네요!