3분 읽기 +1분 16초 영상
- 안드로이드 플레이 스토어에 있는 약 10만 개의 앱을 분석, 전체 앱의 약 76%가 취약
- "일반적으로 출처가 신뢰할 수 없어 보이는 앱은 절대 설치하지 마십시오"
- "카메라나 마이크에 접근하는 경우, 상태 표시줄의 아이콘으로 표시되는 경우가 많으므로 이 점에 유의해야.“
스마트폰은 오랫동안 우리 대부분에게 없어서는 안 될 존재였다. 채팅, 게시물 작성, 웹서핑, 결제 등에 스마트폰을 사용한다. 하지만 스마트폰의 보안성은 얼마나 될까? 최근 몇 년 동안 IT 연구원들은 보안 취약점과 해커의 잠재적 공격 기회를 반복적으로 밝혀냈다. 더욱이, 많은 모바일 앱이 사용자의 동의 없이 제3자와 데이터를 공유하고 있으며, 심지어 은행 앱조차도 해킹당할 수 있다.
투명 앱이 전면으로 몰래 침투
빈 공과대학교의 필립 비어(Philip Beer)가 이끄는 팀이 매우 교활한 해킹 수법을 발견했다. 이 수법은 스마트폰에서 여러 앱이 동시에 활성화될 수 있다는 사실에 기반한다. 일반적으로 우리는 현재 전면에 표시된 앱과만 상호작용한다. 화면을 탭하면 반응하는 앱이기도 하죠. 적어도 우리는 그렇게 생각한다.
하지만 꼭 그럴 필요는 없다. 악성 앱은 눈에 띄지 않게 다른 앱을 실행하면서도 투명하게 표시할 수 있다. 비어는 "앱은 다른 앱을 실행할 수도 있고, 느린 페이드인이나 슬라이드인과 같은 애니메이션을 사용할 수도 있다"고 설명한다. "바로 이런 것들이 악용될 수 있는 것이다." 우리에게 보이지 않는 비밀리에 실행된 앱이 전면으로 나와 탭에 반응하기 때문이다.
테스트를 위한 게임 실험
문제:
보이지 않는 앱이 이제 우리의 입력을 읽거나 클릭을 통해 특정 동작을 유발하도록 속일 수 있다. "화면에 있는 작은 벌레들을 탭하여 포인트를 모으는 간단한 게임을 만들어 이를 테스트했다"고 Beer는 보고했다. "그러면 게임이 브라우저와 같은 다른 앱을 연다. 마치 버그 게임을 하는 것처럼 느껴지지만, 실제로는 버그 게임을 사용하고 있는 것이다.“
연구진은 20명의 피험자에게 버그 게임을 테스트하게 했고, 이들은 스마트폰 카메라 접근 권한 등 눈에 띄지 않게 다양한 권한을 획득했다. Beer는 "이론적으로는 이런 방식으로 은행 앱을 실행하거나 휴대폰의 모든 데이터를 삭제할 수도 있다"고 말했다. 비밀스러운 행동이 실제로 수요를 창출하더라도, 보이지 않는 해커 앱으로 이를 억제할 수 있다.
앱의 76%가 취약했다.
연구진은 이 교활한 해킹 트릭을 "탭트랩"이라고 명명했다. 도대체 이 위험은 얼마나 실제적인 것일까? 연구진은 안드로이드 플레이 스토어에 있는 약 10만 개의 앱을 분석한 결과, 전체 앱의 약 76%가 탭트랩에 취약한 것으로 나타났다고 보고했다. 긍정적인 측면에서, 이러한 보안 취약점은 아직까지 악용된 사례가 없는 것으로 보인다. Beer는 "Play 스토어에서 약 10만 개의 앱을 조사했지만, 이 취약점을 악용한 앱은 하나도 발견되지 않았다"고 말했다. "따라서 이 취약점이 아직까지 실질적인 피해를 입히지 않았기를 바란다. 하지만 물론 이 문제는 해결되어야 한다.“
Beer와 그의 동료들은 이미 안드로이드 개발팀에 이 사실을 알렸다. 파이어폭스와 구글 크롬 개발사에도 연락을 취했는데, 두 회사 모두 자사 브라우저에서 해당 취약점을 이미 해결했다. 보안을 극대화하도록 특별히 설계된 안드로이드 기반 운영체제인 GrapheneOS 또한 이미 이 문제를 해결했다.
우리는 무엇을 할 수 있을까?
하지만 휴대폰 사용자들은 몇 가지 기본적인 규칙을 따르면 이러한 공격으로부터 스스로를 보호할 수 있다. Beer는 "일반적으로 출처가 신뢰할 수 없어 보이는 앱은 절대 설치하지 마십시오"라고 조언한다. "카메라나 마이크에 접근하는 경우, 상태 표시줄의 아이콘으로 표시되는 경우가 많으므로 이 점에 유의해야 한다.“
완벽한 보안을 원하시면 설정의 "접근성", "색상 및 동작"에서 모든 앱 애니메이션을 비활성화할 수 있다. 이렇게 하면 앱 실행 시 해커 앱이 침투할 가능성을 줄일 수 있다.
참고: USENIX 보안 심포지엄 2025, TapTrap
출처: Technische Universität Wien
- 안드로이드 플레이 스토어에 있는 약 10만 개의 앱을 분석, 전체 앱의 약 76%가 취약
- "일반적으로 출처가 신뢰할 수 없어 보이는 앱은 절대 설치하지 마십시오"
- "카메라나 마이크에 접근하는 경우, 상태 표시줄의 아이콘으로 표시되는 경우가 많으므로 이 점에 유의해야.“
안드로이드: "보이지 않는" 앱, 휴대폰 해킹 가능
IT 팀, 안드로이드 스마트폰에서 정교한 해킹 기법 발견
악의적인 해킹:
많은 안드로이드 앱이 특히 악의적인 해킹 기법인 "보이지 않는" 앱에 취약하다. IT 연구원들이 발견한 바에 따르면, 이 앱은 감지되지 않은 채 숨어 있다가 사용자의 클릭을 악의적인 목적으로 사용할 수 있다. 탭트랩(TapTrap)이라고 불리는 이 해킹 기법은 데이터를 읽거나, 사용자의 동의를 얻거나, 심지어 데이터를 삭제할 수도 있다. 문제는 사용자 입장에서 이러한 공격을 거의 감지할 수 없다는 것이다. 너무 늦었을 때만 감지할 수 있다는 것이다.
 |
| ▲ IT 연구원들은 "보이지 않는" 앱을 함정으로 사용하는 해킹 방법을 발견했다. © Philip Beer et al./ TU Wien |
스마트폰은 오랫동안 우리 대부분에게 없어서는 안 될 존재였다. 채팅, 게시물 작성, 웹서핑, 결제 등에 스마트폰을 사용한다. 하지만 스마트폰의 보안성은 얼마나 될까? 최근 몇 년 동안 IT 연구원들은 보안 취약점과 해커의 잠재적 공격 기회를 반복적으로 밝혀냈다. 더욱이, 많은 모바일 앱이 사용자의 동의 없이 제3자와 데이터를 공유하고 있으며, 심지어 은행 앱조차도 해킹당할 수 있다.
투명 앱이 전면으로 몰래 침투
빈 공과대학교의 필립 비어(Philip Beer)가 이끄는 팀이 매우 교활한 해킹 수법을 발견했다. 이 수법은 스마트폰에서 여러 앱이 동시에 활성화될 수 있다는 사실에 기반한다. 일반적으로 우리는 현재 전면에 표시된 앱과만 상호작용한다. 화면을 탭하면 반응하는 앱이기도 하죠. 적어도 우리는 그렇게 생각한다.
하지만 꼭 그럴 필요는 없다. 악성 앱은 눈에 띄지 않게 다른 앱을 실행하면서도 투명하게 표시할 수 있다. 비어는 "앱은 다른 앱을 실행할 수도 있고, 느린 페이드인이나 슬라이드인과 같은 애니메이션을 사용할 수도 있다"고 설명한다. "바로 이런 것들이 악용될 수 있는 것이다." 우리에게 보이지 않는 비밀리에 실행된 앱이 전면으로 나와 탭에 반응하기 때문이다.
테스트를 위한 게임 실험
문제:
보이지 않는 앱이 이제 우리의 입력을 읽거나 클릭을 통해 특정 동작을 유발하도록 속일 수 있다. "화면에 있는 작은 벌레들을 탭하여 포인트를 모으는 간단한 게임을 만들어 이를 테스트했다"고 Beer는 보고했다. "그러면 게임이 브라우저와 같은 다른 앱을 연다. 마치 버그 게임을 하는 것처럼 느껴지지만, 실제로는 버그 게임을 사용하고 있는 것이다.“
 |
| ▲ 이 해킹은 눈에 보이지 않는 앱이 우리가 알아차리지 못하는 사이에 전면으로 나타나기 때문에 작동한다. © Beer et al. / CC-by 4.0 |
연구진은 20명의 피험자에게 버그 게임을 테스트하게 했고, 이들은 스마트폰 카메라 접근 권한 등 눈에 띄지 않게 다양한 권한을 획득했다. Beer는 "이론적으로는 이런 방식으로 은행 앱을 실행하거나 휴대폰의 모든 데이터를 삭제할 수도 있다"고 말했다. 비밀스러운 행동이 실제로 수요를 창출하더라도, 보이지 않는 해커 앱으로 이를 억제할 수 있다.
앱의 76%가 취약했다.
연구진은 이 교활한 해킹 트릭을 "탭트랩"이라고 명명했다. 도대체 이 위험은 얼마나 실제적인 것일까? 연구진은 안드로이드 플레이 스토어에 있는 약 10만 개의 앱을 분석한 결과, 전체 앱의 약 76%가 탭트랩에 취약한 것으로 나타났다고 보고했다. 긍정적인 측면에서, 이러한 보안 취약점은 아직까지 악용된 사례가 없는 것으로 보인다. Beer는 "Play 스토어에서 약 10만 개의 앱을 조사했지만, 이 취약점을 악용한 앱은 하나도 발견되지 않았다"고 말했다. "따라서 이 취약점이 아직까지 실질적인 피해를 입히지 않았기를 바란다. 하지만 물론 이 문제는 해결되어야 한다.“
Beer와 그의 동료들은 이미 안드로이드 개발팀에 이 사실을 알렸다. 파이어폭스와 구글 크롬 개발사에도 연락을 취했는데, 두 회사 모두 자사 브라우저에서 해당 취약점을 이미 해결했다. 보안을 극대화하도록 특별히 설계된 안드로이드 기반 운영체제인 GrapheneOS 또한 이미 이 문제를 해결했다.
우리는 무엇을 할 수 있을까?
하지만 휴대폰 사용자들은 몇 가지 기본적인 규칙을 따르면 이러한 공격으로부터 스스로를 보호할 수 있다. Beer는 "일반적으로 출처가 신뢰할 수 없어 보이는 앱은 절대 설치하지 마십시오"라고 조언한다. "카메라나 마이크에 접근하는 경우, 상태 표시줄의 아이콘으로 표시되는 경우가 많으므로 이 점에 유의해야 한다.“
완벽한 보안을 원하시면 설정의 "접근성", "색상 및 동작"에서 모든 앱 애니메이션을 비활성화할 수 있다. 이렇게 하면 앱 실행 시 해커 앱이 침투할 가능성을 줄일 수 있다.
참고: USENIX 보안 심포지엄 2025, TapTrap
출처: Technische Universität Wien
[더사이언스플러스=문광주 기자]
[저작권자ⓒ the SCIENCE plus. 무단전재-재배포 금지]
오늘의 이슈
뉴스댓글 >
주요기사
+
많이 본 기사
Basic Science
+
중성미자: 필사적인 발신자 추적 (1) "IceCube 관측소의 중성미자 위치 추적"
중성미자: 필사적인 발신자 추적아이스큐브(IceCube) 관측소팀, 우주 방사선의 근원을 ...
AI & Tech
+
Photos
+
- the SCIENCE plus 우)14121 경기도 안양시 동안구 엘에스로 35, Acroriver 505 대표전화 : 1522-9594 청소년보호관리책임자 : 문광주
- 발행인· 편집인 : 문광주 등록번호 : 경기 아52382 등록/발행일 : 2019-11-07 제보메일 : helloscienceplus@gmail.com
- 본 콘텐츠의 저작권은 the SCIENCE plus 또는 제공처에 있으며 이를 무단 이용하는 경우 저작권법 등에 따라 법적책임을 질 수 있습니다.
- Copyright ⓒ the SCIENCE plus All rights reserved. 0.0638