CWN(CHANGE WITH NEWS) - ′가짜 왓츠앱′ 이용한 해킹 공격 등장...아이폰 사용자 겨냥

모바일 기기를 사용할 때나 PC를 사용할 때나 매우 중요하지만, 늘상 간과하기 쉬운 부분이 있다. 바로 사이버 보안이다. 하루가 멀다 하고 사이버 보안 관리에 철저하게 신경 쓰더라도 많은 사람이 속아 넘어 갈만한 교묘한 수법이 끊임없이 등장하고 있어, 더 주의해야 한다.

최근에는 가짜 왓츠앱 다운로드 페이지를 이용해, 아이폰 사용자를 겨냥한 해킹 공격이 등장했다.

가짜 왓츠앱 메신저, 해킹 수단으로 악용
북미 디지털 잡지 바이스는 디지털 권리 감시 단체 시티즌 랩(Citizen Lab)과 마더보드(Motherboard) 소속 테크 전문가가 이탈리아의 어느 한 감시 기업 페이지로 연결되는 가짜 왓츠앱 메신저 기반 해킹을 경고한 사실을 보도했다.

가짜 왓츠앱을 동원한 해킹 공격은 아이폰에서 간과하기 쉬운 허점을 강조한다. 바로 사용자를 속여, 수성 파일 혹은 이동장비관리(MDM) 프로필을 설치하도록 해, 기기에 멀웨어를 유포할 수 있다는 사실이다.

이번 해킹 공격을 최초로 감지한 곳은 보안 기업 젝옵스(ZecOps)이다. 약 일주일 전, 젝옵스는 트위터를 통해 왓츠앱 사용자를 겨냥한 사이버 공격을 감지했다고 발표했다. 'config5-dati[.]com'라는 도메인과 특정한 IP 주소가 해당 공격과 관련이 있는 것으로 알려졌다.

이에, 시티즌 랩 소속 연구원 빌 마크작(Bill Marczak)과 바 압둘 라작(Bahr Abdul Razzak)이 해당 도메인을 구체적으로 조사했다. 그 결과, 왓츠앱 다운로드 페이지를 포함한 다른 링크가 존재한다는 사실을 발견했다.

그러나 마크작과 라작의 설명에 따르면, 도메인과 연결된 페이지는 실제 왓츠앱 다운로드 페이지가 아니다. 실제로는 사용자를 속여 가짜 왓츠앱을 다운로드하도록 유도해, 사용자 정보를 몰래 수집할 용도로 설계된 페이지이다. 게다가 수집한 사용자 정보를 해커와 공유한다.

마더보드 측은 사이버 보안 공급 업체 토메인 툴즈(DomainTools)와 리스크IQ(RiskIQ)의 데이터를 사용해, 독자적으로 'config5-dati[.]com' 도메인에서 문제를 발견했다. 해당 도메인이 다른 비슷한 명칭의 도메인과 암호화 인증 정보를 공유한다는 문제이다. 또, 'config5-dati[.]com' 도메인에서 실제로 연결되는 링크가 왓츠앱 다운로드 페이지로 위장한 이탈리아 피싱 사이트라는 사실도 확인했다.

왓츠앱 측의 반응
시티즌 랩 소속 연구팀의 설명에 따르면, 왓츠앱 페이지를 가장한 피싱 페이지는 실제 왓츠엡 공식 사이트와 다른 모습이라고 설명했다. 현재, 피싱 페이지는 온라인에서 사라진 상태이다.

그러나 시티즌 랩과 마더보드는 조사 내용을 공유하고, 이를 왓츠앱에 전달했다. 이와 관련, 왓츠앱 대변인은 아직 의심스러운 사용자나 앱 문제를 보고받은 바가 없다고 밝혔다.

이어, 왓츠앱 측은 "안전한 대화 기능 사용을 위해 각자 사용하는 스마트폰의 플랫폼에서 직접 왓츠앱을 다운로드할 것을 권장한다. 게다가 현재 수정된 왓츠앱 클라이언트 사용자 계정을 일시적으로 금지하고 있다"라고 덧붙여 전했다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]