모바일 보안 전문업체 짐페리움(Zimperium)이 새롭게 발견한 안드로이드 악성코드 ‘드로이드락(DroidLock)’이 사용자 스마트폰에 대한 사실상 전면적인 통제권을 해커에게 넘겨줄 수 있다는 경고가 나왔다. 이 악성코드는 정교한 사회공학 기법과 권한 탈취, 실시간 원격 제어 기능을 결합해 기존 모바일 악성코드를 뛰어넘는 위험성을 지닌 것으로 평가된다.

드로이드락은 사용자들을 속여 악성 앱을 설치하도록 유도하는 '피싱 사이트'를 통해 퍼지며, 2단계 방식으로 주요 페이로드를 주입한다. 먼저 감염된 '드로퍼(droppers)' 앱이 설치된 후, 접근성 서비스 및 기기 관리자 권한을 적극적으로 요구해 안드로이드 시스템의 내장 보안 장치를 우회한다. 이후 이 악성코드는 HTTP와 웹소켓(WebSocket) 기반의 통신 채널을 개설해 공격자가 실시간 명령을 원격으로 입력할 수 있도록 한다.

짐페리움의 위협 분석 조직 zLabs에 따르면 드로이드락의 파괴력은 수준이 다르다. 단순한 스파이웨어나 랜섬웨어 수준을 넘어, 시스템 업데이트로 둔갑한 전면 잠금화면을 띄워 사용자의 조작을 차단하고 기존 PIN번호나 생체 인증 정보를 변경하거나, 아예 기기를 초기화해 데이터 전체를 삭제할 수 있다. 여기에 더해 사용자 눈에는 정상 앱처럼 보이는 화면 위에 가짜 로그인 인터페이스를 덧씌워 금융 정보나 계정 자격 증명을 가로채는 수법까지 구사한다.

또한 사용자가 인식하지 못한 채 화면을 녹화하거나 카메라를 원격으로 작동시키고, 시스템 볼륨을 음소거하거나 특정 앱을 몰래 제거하는 기능도 내장돼 있어 전형적인 안드로이드 보안 통제를 무력화한다. 이 모든 행위는 시스템 동의를 가장해 이뤄지며, 사용자는 악성 행위 감지를 거의 하지 못한다.

특히 드로이드락은 일반적인 랜섬웨어처럼 파일 암호화 방식은 사용하지 않는다. 대신 기기를 강제로 잠가버리고, 데이터를 되돌릴 수 없다는 위협을 무기로 '몸값'을 요구하는 강압적 본질을 갖는다. 연구진은 이 같은 행태가 기존 공격 패턴과 다른 새로운 유형의 모바일 위협이 도래했음을 시사한다고 지적했다.

현재까지 이 악성코드는 스페인을 중심으로 한 안드로이드 사용자들을 타깃으로 한 캠페인에서만 발견됐다. 하지만 드로이드락이 가진 고도화된 기능을 감안할 때, 글로벌 확산 가능성과 함께 후속 복제 악성코드 출현에 대한 우려도 커지고 있다.

전문가들은 사용자들에게 공식 앱 스토어 외부에서 앱을 설치하지 말고, 과도한 권한을 요구하는 앱은 의심부터 해야 한다고 조언한다. 기업 및 기관의 경우 실시간 모바일 위협 탐지(MTD)와 행동 기반 감시, 엔드포인트 모바일 보안 솔루션 등의 다층 방어 체계를 갖춰야 할 시점이라는 권고도 함께 나왔다.

드로이드락 사례는 모바일 악성코드 양상과 보안 취약점이 얼마나 빠르게 진화하고 있는지를 보여준다. 여전히 가장 취약한 고리는 '사용자'이고, 이것이 해커들이 가장 먼저 노리는 접근점임을 일깨우고 있다.