반도체 전문 온라인 매거진 - 올포칩

글로벌 사이버 보안 리더 카스퍼스키(Kaspersky)가 애플 앱스토어와 구글 플레이스토어에서 새로운 스파크캣(SparkCat) 트로이목마 변종을 확인했다고 발표했다. 이번에 발견된 악성코드는 정상적인 앱으로 위장해 사용자의 사진 갤러리를 스캔하고, 암호화폐 지갑 복구에 필요한 니모닉 문구(시드 문구)를 탐색하여 자산을 탈취하는 방식을 취하고 있다. 이는 과거 동일한 유형의 악성코드가 제거된 지 1년 만에 더욱 진화된 형태로 재등장한 것이다.

최근 유포되는 스파크캣 변종은 기업용 메신저나 음식 배달 앱 등 실생활에서 자주 쓰이는 정상 앱을 감염시켜 배포되고 있다. 카스퍼스키 연구팀은 공식 앱스토어 외에도 제3자 유통 경로를 통해 감염 앱이 확산되고 있음을 확인했으며, 특히 아이폰 사용자를 겨냥해 앱스토어 웹페이지를 모방한 피싱 사이트도 기승을 부리고 있다고 경고했다. 업계 전문가들은 "공식 스토어의 심사 과정을 우회할 정도로 공격 기법이 정교해지고 있다"며 사용자들의 각별한 주의를 당부했다.

기술적 특징을 살펴보면, 이번 변종은 모바일 악성코드에서는 보기 드문 고도화된 난독화 기법을 적용했다. 안드로이드용 변종은 코드 가상화 및 크로스 플랫폼 언어를 사용해 분석을 회피하며, 광학 문자 인식(OCR) 모듈을 통해 갤러리 내 스크린샷에서 한국어, 일본어, 중국어 키워드를 직접 분석한다. 반면 iOS용 변종은 영어로 된 니모닉 문구를 탐색하는 방식을 채택해 전 세계 사용자를 광범위하게 노리고 있다. 세르게이 푸잔(Sergey Puzan) 카스퍼스키 악성코드 분석가는 "스틸러가 특정 키워드가 포함된 이미지를 발견하면 즉시 공격자에게 전송하는 구조"라고 설명했다.

산업적 가치와 미래 비전 측면에서 카스퍼스키는 한국의 높은 스마트폰 보급률과 암호화폐 거래 활성화를 고려할 때 국내 사용자들이 주요 표적이 되고 있다고 분석했다. 이효은 카스퍼스키 한국지사장은 "정교한 난독화 기술로 공식 스토어의 검증을 회피하는 사례가 늘고 있어 개인 자산 보호가 위협받는 상황"이라며, "민감한 정보를 갤러리에 저장하지 않는 습관과 더불어 전문적인 모바일 보안 솔루션 도입이 필수적이다"라고 강조했다.

카스퍼스키는 피해 예방을 위해 '카스퍼스키 포 모바일(Kaspersky for Mobile)'과 같은 보안 소프트웨어 사용을 권장하고 있다. 특히 안드로이드 환경에서는 악성 설치 자체를 차단하고, iOS에서는 명령 제어 서버(C2)로의 연결 시도를 탐지해 경고를 표시함으로써 자산 유출을 방어한다. 또한 시드 문구와 같은 중요 정보는 이미지 형태가 아닌 전용 비밀번호 관리 프로그램에 보관하는 등 보안 수칙 준수가 핵심적인 방어 전략이 될 것으로 기대된다.