최신 보안 동향

[정보]지하철 요금 우회가 가능한 안드로이드 애플리케이션 보고

TACHYON & ISARC 2012. 9. 27. 15:46

1. 개 요


최근 해외 보안 업체를 통해 지하철 요금 지불과 관련하여 결제카드의 리셋 기능을 지원하는 애플리케이션에 대한 정보가 공개된 바 있다. 해당 애플리케이션은 NFC 기능을 통해 결제카드에 대한 리셋 기능을 수행하며, 실제로 해외 지하철역에서 선불요금이 만료된 결제 카드에 대한 리셋 시연을 보이는 영상까지 공개되어 있다. 물론 국내에서 정상적인 동작을 기대하기는 어렵고 해당 애플리케이션이 악성이 아닌 POC(개념증명)를 위해 준비되었다는 점에서 약간의 거리는 있겠지만 날로 확산되어 가고있는 안드로이드 보안 위협에 대한 사용자들의 인식 전환을 위해서는 한번쯤 짚고 넘어가 볼 수 있는 문제일 수 있다.

※ 실제 시연 동영상

http://vimeo.com/49664045

※ NFC[Near Field Communication]

10cm 이내의 가까운 거리에서 다양한 무선 데이터를 주고받는 통신 기술

2. 유포 및 동작 설명

해당 애플리케이션은 아래의 그림과 같이 구글 정식 마켓을 통해 다운로드가 가능하다.


해당 애플리케이션을 다운로드하여 설치하면 아래의 그림과 같이 NFC제어 관련 권한을 요구하는 화면이 출력된다.


아래의 그림은 전체 권한 선언을 포함한 AndroidManifest.xml 파일의 일부 내용이다.


해당 애플리케이션은 위 그림에서 확인이 가능하듯 Android SDK 2.3.3 이상 버전에서 정상적인 동작이 가능하다. 또한, Main 액티비티외에 추가적으로 탭형식으로 구성된 2개의 액티비티가 존재하고 있음을 확인할 수 있으며, 별도의 리시버나 서비스는 등록되어 있지 않다.

해당 애플리케이션은 Manifest에 정의된 내용으로 미루어 보아 아래의 일부 코드와 같이 NFC 기능 동작을 위한 Action이 추가된 필터를 제외하고는 특별한 동작을 수행하지 않음을 확인할 수 있다.


위와 같은 설정 등을 전제로 해당 애플리케이션이 실행되면 아래의 그림과 같이 TabActivity로 구성된 메인화면을 볼 수 있다.


지하철 패스 카운트(총 10번 사용가능)가 모두 소진된 카드를 해당 애플리케이션을 통해 스캔하게 되면 아래의 일부 코드 등을 통해 다시 총 10번이 사용가능하도록 지하철 패스 카운트를 리셋하게 된다.


해당 애플리케이션의 이러한 리셋 기능은 Tag ID를 얻어 MifareUltralight API를 통한 입출력 기능 등으로 구현되어 있으며, 위에서 언급한 시연 동영상 처럼 실제 해외 지하철역에서 사용 가능한것으로 확인되고 있다.

3. 마무리

해외 보안 업체 등을 통해 안드로이드 보안 위협과 관련하여 위와 같은 POC개념의 애플리케이션들이 지속적으로 보고되고 있다. 그만큼 악용가능한 범위가 넓다는 반증일 수 있다. 실제적으로 유비쿼터스화 되고 있는 실생활에서 스마트폰을 이용해 모든 제어가 가능해지고 있는 만큼 개인 스마트폰의 보안 위협에 대한 제고는 반드시 이루어져야하나, 일반적으로 사용자들의 스마트폰에 대한 보안 인식은 아직까지 이에 미치지 못하고 있는 실정이다.

좀 더 편하고 좀 더 즐거운 생활을 가능하게 해주는 스마트 기능이 좀 더 불편하고 좀 더 안전하지 못한 상황을 초래하지 않게 하기 위해서는 아래와 같은 기본적인 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(대응팀)에서는 위와 같은 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.