Android 휴대폰에서 스파이웨어를 탐지하고 제거하는 방법?

스파이웨어는 인터넷 브라우징부터 민감한 거래까지 사용자가 기기에서 하는 모든 동작을 은밀히 추적합니다. Android 기기가 스파이웨어에 감염되면, 사이버 범죄자가 로그인 정보와 금융 정보를 빼내갈 수 있습니다. Android 기기에서 스파이웨어를 탐지하고 제거하는 방법을 알아보세요.

스파이웨어란?

스파이웨어는 사용자의 온라인 활동을 사용자 모르게 추적할 수 있는 악성 소프트웨어의 한 유형입니다. 로그인 세부 정보, 위치, 은행 및 신용카드 정보, 메시지, 개인 사진 및 검색 기록 등 사용자에 대한 민감한 정보를 수집할 수 있습니다. 일반적으로, 해커는 금전적 이득을 노리고 이러한 민감한 정보를 사용합니다.

각자 특정한 작업을 수행하도록 설계된 다양한 유형의 스파이웨어가 존재합니다. 예를 들자면 다음과 같습니다.

암호 탈취기
키로거
음성 녹음 및 영상 녹화 스파이웨어
정보 탈취기
쿠키 추적기
뱅킹 트로이목마

스파이웨어가 위험한 이유는 무엇인가요?

모든 악성 코드는 위험합니다. 특히 스파이웨어는 기기에 잠입하여 사용자 몰래 개인 정보에 접근하므로 더욱 악랄합니다. 해커는 스파이웨어로 얻은 데이터를 사용하여 신원 도용, 사기 등 각종 범죄를 저지릅니다.

스파이웨어에는 일반적으로 높은 수준의 감시가 동반됩니다. 이를테면, Android 기기에 잠입한 스파이웨어의 유형에 따라 기기로 음성을 녹음하거나 영상을 녹화하고, 검색 기록이나 물리적 위치를 추적할 수 있습니다. 키로거는 사용자가 타이핑하는 것을 전부 기록할 수도 있습니다.

스파이웨어에는 사용자의 지인이 사용자 몰래 사용자의 기기에 스파이 앱을 설치하는 '스토커웨어'라는 형태도 있습니다. 이러한 유형의 앱은 질투심 많은 파트너, 의심 많은 고용주, 걱정 많은 부모 등이 사용할 수 있습니다. 스토커웨어가 다른 유형의 스파이웨어와 다른 점은 일면식도 없는 사이버 범죄자가 아닌, 아는 사람에게 데이터를 전송한다는 것입니다. 이는 공격자가 피해자의 기기에서 받은 데이터를 보려면 개인 계정에 대한 물리적인 액세스가 필요하기 때문입니다. 스토커웨어는 협박, 금전 탈취, 가정 폭력 및 학대의 도구로 사용될 수 있습니다.

스파이웨어의 출처는 어떻게 되나요?

Android 휴대폰에 스파이웨어가 잠입하는 다양한 경로에는 다음이 포함됩니다.

의도치 않게 악성 앱을 다운로드
Google은 Play Store에 허용할 앱을 검토하는 프로세스가 있으나, 가끔 악성 코드를 놓치기도 합니다.

피싱 스캠에 연루
이메일 또는 문자 메시지를 사용한 피싱 스캠은 사이버 범죄자가 정식 회사나 지인을 사칭하여 피해자가 악성 파일을 다운로드하거나 개인 정보를 공유하도록 속이는 행위입니다.

누군가 사용자의 기기에 스토커웨어를 다운로드
스토커웨어는 주로 사용자의 기기에 물리적으로 접근할 수 있는 사람이 설치합니다. 사용자의 휴대폰에 스토커웨어를 설치하여 사용자의 위치를 추적하고, 온라인 활동을 감시하고, 통화를 녹음하고 메신저 사용 내역을 확인할 수 있습니다. 여기에는 스토커웨어를 비롯해 사용자가 타이핑하는 것을 모두 기록하는 키로거가 포함되기도 합니다.

스파이웨어 사례

해커는 항상 새로운 스파이웨어를 개발합니다. 최근 화제가 된 사례를 살펴봅시다.

RatMilad, 2022

중동에서 모바일 기기를 통해 피해자를 감시하고 데이터를 훔친 RatMilad라는 새로운 Android 스파이웨어가 발견되었습니다. 전문가들은 이 악성 코드가 사이버 스파이, 금전 갈취, 피해자 도청 등을 목적으로 사용될 수 있다고 경고했습니다.

이 스파이웨어는 소셜 미디어 계정 활성화에 사용되는 'NumRent'라는 허위의 가상 번호 생성기를 통해 배포되었습니다. 이 앱은 설치 후에 민감한 접근 권한을 요청하며, 이를 악용하여 악성 RatMilad 페이로드를 사이드로드합니다.

RatMilad가 담겨있는 다른 트로이 목마나 NumRent는 Google Play Store나 타사 스토어에서 이용할 수 없기에, 이 가짜 앱의 주요 배포 채널은 Telegram이었습니다. RatMilad 위협 인자는 전용 웹사이트도 제작해, 모바일 원격 액세스 트로이목마(RAT)를 홍보하며 합법적인 앱인 것처럼 위장했습니다. 이 웹사이트는 Telegram과 기타 소셜 미디어 플랫폼에서도 홍보되었습니다.

FurBall, 2022

APT-C-50이라고도 알려진 Domestic Kitten 해킹 그룹이 이란 시민을 상대로 시행한 모바일 감시 캠페인에서 FurBall Android 스파이웨어의 새로운 버전이 발견되었습니다. 이 스파이웨어는 최소 2016년부터 시행된 대규모 감시 작전에서 배포되었습니다.

전문가들이 FurBall 악성 코드의 최신 버전을 샘플링 및 분석한 결과, 이전 버전과 비슷하나, 새로운 난독화 업데이트가 포함되어 있었습니다. 이 버전의 FurBall은 실제 웹사이트를 똑같이 흉내 낸 허위 웹사이트에서 피해자가 다이렉트 메시지, 소셜 미디어 포스팅, 이메일, SMS, 비윤리적인 SEO 기법 등을 통해 링크를 클릭하도록 하여 배포됩니다.

PhoneSpy, 2021

2021년, 연구원들은 한국에서 Android 기기를 대상으로 한 스파이웨어 앱을 발견했습니다. PhoneSpy라고 불리는 이 악성 코드 프로그램은 일반 앱을 모방하여 감염된 머신에 대한 접근 권한을 얻어서 데이터를 훔치고 원격 제어했습니다. 이 스파이웨어는 1,000대 이상의 Android 기기를 감염시킨 것으로 추정됩니다.

PhoneSpy는 요가, 영상 스트리밍 및 메신저 앱 등 합법적으로 보이는 앱에서 발견되었습니다. 이 앱들은 Google Play Store에 있던 것이 아니므로, 전문가들은 공격자들이 소셜 엔지니어링 및 피싱 기법으로 공유한 여러 타사 플랫폼을 통해 이 악성코드를 배포한 것으로 보고 있습니다.

GravityRAT, 2020

2018년에 인도군을 겨냥하여 개발된 GravityRAT이라는 스파이웨어가 발견되었습니다. 이 스파이웨어는 원래 주로 Windows 머신을 대상으로 했으나, 2018년부터는 Android 기기까지도 대상에 포함되었습니다.

2019년에는 GravityRat에 연결된 VirusTotal에서 Android 스파이웨어가 발견되었습니다. 인도 여행객을 대상으로 한 Travel Mate라는 Android 앱에 사이버 범죄자가 스파이 모듈을 추가했습니다. 이들은 2018년에 Github에 배포된 버전의 앱을 사용했으며, 앱의 이름을 Travel Mate Pro로 변경한 후 악성 코드를 추가했습니다.

Android 휴대폰에서 스파이웨어를 탐지하는 방법

그렇다면 사용자 휴대폰에 스파이웨어가 있는지 어떻게 알 수 있을까요? 스파이웨어는 모습을 감추도록 설계되므로 탐지하기 어렵습니다. 그러나 Android 기기에서 스파이웨어 감염을 의심할 수 있는 신호가 있습니다. 예를 들자면 다음과 같습니다.

속도 및 성능 저하
무거운 앱을 실행하지 않아도 기기가 느리다는 느낌이 듭니다. 앱이 멈추거나 로딩이 더 오래 걸리고, 운영 체제 오류가 잦고, 전체적으로 기기 속도가 느립니다.

배터리 및 데이터가 더 빨리 소진
스파이웨어 소프트웨어는 모습을 감추고 백그라운드에서 조용히 실행되지만, 그 과정에서 배터리와 데이터(Wi-Fi를 사용하지 않을 시)를 많이 소모합니다. 따라서 통신비가 더 많이 나오거나 배터리가 평상시보다 더 빨리 소모될 수 있습니다.

기억에 없는 앱이나 설정
사용자 휴대폰에 기억에 없는 활동이 발견됩니다. 예를 들어, 설치한 기억이 없는 앱(숨겨진 Android 앱 포함)이나 새 홈페이지와 같이 변경된 설정이 있을 수 있습니다.

지속적인 과열

정상적인 기기 사용으로도 발열은 생기지만, 악성 코드가 있으면 평소보다 발열이 더 심해집니다.

원치 않는 광고 및 팝업

스파이웨어는 애드웨어를 포함할 때도 있습니다. 기기에 무작위 팝업이 거슬릴 정도로 표시된다면, 스파이웨어에 감염되었을 수도 있습니다.

암호로 보호된 앱 및 웹페이지 접근 문제
특정 스파이웨어는 일부 웹사이트에 로그인 시 스푸핑한 브라우저를 사용할 수 있습니다. 그리고 사용자 로그인 정보를 수집하여 사용자 모르게 제삼자에게 전송하며, 이를 알아차렸을 때는 대개 너무 늦습니다.

악성코드 방지 소프트웨어 비활성화
기기에서 사용하던 스파이웨어 검사 도구가 갑자기 작동하지 않는다면, 기기가 이미 감염되었다는 의미일 수 있습니다. 번들 악성 코드는 시스템을 다방면으로 공격할 수 있으며, 이때 시스템을 장악하는 가장 좋은 방법은 악성 코드 방지 프로그램을 무력화하는 것입니다.

비정상적인 문자 메시지 및 이메일
공격 대상이 된 기기는 스파이웨어를 직접 설치하게끔 속이는 문자 메시지와 이메일을 받을 수 있습니다. 이러한 메시지는 링크, 코드, 기호의 형태일 수 있습니다. 이러한 코드는 소셜 미디어 계정에 관한 인증 코드로 위장하기도 합니다. 메시지라면 스푸핑을 거쳐 신뢰하는 연락처가 보낸 것처럼 속일 수도 있습니다. 이상한 문자, 소셜 미디어 메시지, 이메일을 받는다면, 스파이웨어 감염 시도의 경고 신호일 수 있습니다. 링크를 누르거나 파일을 다운로드하지 말고 삭제해야 합니다.

통화 중 소음
가끔 신호가 좋지 않으면, 통화 중에 잡음이나 삐 소리가 들릴 수 있습니다. 그러나 늘 신호의 문제인 것만은 아닐 수 있습니다. 이러한 소음은 스파이웨어가 통화를 도청하거나 통화를 녹음할 때도 발생할 수 있습니다.

비정상적인 동작
기기가 갑자기 절전 모드로 전환되었다가 켜지고, 멋대로 다시 시작하거나 전원이 꺼지지 않는다면, 기기에 스파이웨어나 기타 악성 코드가 있을 수 있습니다.

휴대전화를 사용하고 있는 로봇 손

Android에서 스파이웨어를 제거하는 방법

Android에서 스파이웨어를 제거하는 방법은 다양합니다. 예를 들자면 다음과 같습니다.

옵션 1: Android 휴대폰 설정을 통해 스파이웨어 찾기

Android 휴대폰의 휴대폰 설정을 확인하여 스파이웨어 활동의 흔적을 발견할 수 있습니다.

우선, 기기를 안전 모드에서 다시 시작합니다. 안전 모드는 모든 타사 앱의 실행을 방지하여 기기의 비정상적인 동작이 다른 문제가 아닌 스파이웨어 때문인지 검증할 수 있습니다. 이렇게 하려면 다음을 따릅니다.
- 휴대폰의 전원 버튼을 길게 눌러 전원 끄기 및 다시 시작 옵션을 확인할 수 있습니다(일부 버튼 및 표시의 위치는 기기 모델과 Android 버전에 따라 달라질 수 있습니다).
- 전원 끄기 옵션을 길게 누르면 안전 모드에서 다시 시작 옵션이 나타납니다. 확인을 누릅니다.
- 하단 좌측의 표시로 안전 모드임을 확인할 수 있습니다.

그럼, 설정 앱을 실행합니다.
기기에서 사용하는 용어에 따라 앱 또는 애플리케이션을 클릭합니다.
화면 우측 상단의 햄버거 메뉴 또는 세로 점 세 개를 클릭합니다.
시스템 프로세스 표시 또는 시스템 앱 표시를 클릭합니다.
표시된 애플리케이션 목록을 검토하여 의심스럽거나 익숙하지 않은 항목을 찾습니다.
Android 기기에서 발견한 숨겨진 스파이 앱을 제거합니다.

옵션 2: 다운로드 폴더로 스파이웨어 찾기

다운로드 폴더를 확인하면 사용자가 다운로드하지 않은 게 확실한 스토커웨어 및 의심스러운 파일을 찾는 데 도움이 될 수 있습니다. 이렇게 하려면 안전 모드에서 다음을 따릅니다.

내 파일 또는 파일 앱을 실행합니다.
다운로드를 클릭합니다. 이 폴더에는 유형이나 형식에 관계없이, 지금까지 기기에 다운로드했던 모든 파일이 있습니다.
목록을 검토하여 다운로드한 기억이 없는 의심스러운 파일 또는 앱을 확인합니다. 확실하지 않다면, Google에 앱 이름을 검색하여 다른 사용자들이 발견한 문제가 있는지 확인합니다.
제거를 탭하여 삭제합니다.

일부 앱은 제거를 방지하는 장치 관리자 권한이 있을 수 있습니다. 이때는 이 권한을 제거해야 합니다. 이 프로세스는 사용 중인 기기 유형과 Android 버전에 따라 다르지만, 일반적으로 설정 > 보안 > 고급 > 장치 관리자로 이동해야 합니다.

장치 관리자 권한이 있는 앱 목록에서 악성 앱 옆에 있는 확인란을 선택 해제합니다. 이는 다른 의심스러운 앱에도 이러한 권한이 있는지 확인할 좋은 기회이므로, 그러한 앱이 또 있다면 권한을 제거합니다.
표시되는 목록에서 이 장치 관리자 앱 비활성화를 탭합니다.
앱 목록으로 돌아갑니다. 이제 이전에는 삭제할 수 없었던 앱과 의심스러운 앱을 모두 제거할 수 있습니다.
기기를 일반 모드로 다시 시작한 다음 사용해 봅니다.

이렇게 기기에서 스파이웨어를 제거하면 기기가 정상 작동할 수 있을 것입니다.

옵션 3: Android 스파이웨어 검사로 스파이웨어 찾기

Android 기기에서 스파이웨어를 찾는 가장 빠르고 효과적인 방법은 백신 소프트웨어 사용입니다. 절차는 다음과 같습니다.

안전하고 합법적이며, 사용자 기기와 호환되는 백신을 사용 중인지 확인합니다.
Android 기기 검사를 실행합니다. 전용 앱으로 기기에서 스파이웨어를 검사하면 탐지 가능성이 훨씬 높아집니다.
스파이웨어를 삭제합니다. 백신 프로그램이 이를 자동으로 진행하거나 삭제 승인 요청 메세지를 표시할 수 있습니다.

이렇게 해도 기기의 문제를 고칠 수 없다면, 마지막 옵션은 공장 초기화를 하는 것입니다.

옵션 4: 공장 초기화하기

위의 방법으로도 안 된다면, 공장 초기화를 할 수 있습니다. 공장 초기화는 기기에서 스파이웨어를 포함한 모든 것을 삭제합니다. 이 작업을 진행하기 전에 앱이나 사진 등 데이터가 손실되지 않도록 기기를 백업했는지 확인합니다. 스파이웨어 문제가 발생하기 전의 백업으로 기기를 복원해야 합니다.

기기를 초기화하고 기본 공장 설정으로 복구하려면 다음을 따릅니다.

설정 > 시스템 > 초기화 옵션으로 이동합니다.
기종에 따라, 공장 데이터 초기화 또는 모든 데이터 삭제(공장 초기화)를 탭합니다.
기기 초기화를 탭하여 확인합니다.
기기에서 암호 또는 PIN 입력으로 확인을 요청할 것입니다.
모든 것을 삭제하고 초기화하려면 시간이 조금 걸리며, 기기가 새것과 같은 상태로 다시 시작됩니다.

기기에서 새로 시작할 것인지 아니면 백업에서 복원할 것인지 물어볼 것입니다. 백업을 사용한다면, 기기에 문제가 발생하기 전의 백업을 선택해야 합니다(스파이웨어를 다시 설치하지 않도록).

Android에서 스파이웨어를 제거했다면, 다음 절차를 추가로 진행합니다.

브라우저 캐시를 삭제
모든 중요한 계정의 암호 변경
기기와 계정에서 제공하는 2단계 인증(2FA)을 모두 활성화

스토커웨어에 관한 주의사항

스토커웨어 사용자에게 피해자의 장치가 초기화되었다는 경고가 전송될 때도 있습니다. 이를 통해 신변에 위험이 생길 수 있다고 판단된다면, 설정을 변경하지 마세요. 대신, 필요에 따라 지원 기관이나 법 집행 기관에 도움을 청하세요.

스파이웨어로부터 Android 휴대폰 보호하기

기기를 스파이웨어로부터 보호하는 방법은 다음과 같습니다.

피싱 시도 주의
불확실한 문자나 이메일 메시지는 열지 않도록 합니다. 이미 열었다면, 첨부 파일을 열거나 이메일 내 링크를 클릭하지 않도록 합니다.

주기적으로 암호 변경
스파이웨어는 기기에서 은행 앱 로그인 정보 등 민감한 정보를 수집합니다. 이러한 로그인 정보를 주기적으로 변경한다면 해커가 데이터에 접근하더라도, 실제로 이 데이터를 사용하려는 시점에서는 이미 해당 데이터가 변경되었을 수 있습니다(기기에서 스파이웨어를 제거했다는 전제하에).

안전한 웹사이트만 탐색
웹사이트 링크를 클릭하기 전에 신중하게 확인합니다. 안전하고 검증된 웹사이트 링크는 일반적으로 HTTPS로 시작합니다. 여기서 S는 '보안(Secure)'을 의미하며 웹사이트에 최신 보안 인증서가 있다는 의미입니다.

휴대폰 보안 확인
기기에 스토커웨어가 설치되었다면, 기기의 잠금 및 보호가 해제되었거나 화면 잠금이 간파 또는 학습되었을 확률이 높습니다. 강력한 화면 잠금 암호를 설정하는 것도 스토커를 막는 데 도움이 될 수 있습니다. 또한, 가능하다면 항상 2단계 인증으로 이메일 및 다른 온라인 계정을 보호해야 합니다. 기기에 대한 물리적 접근을 제한하고, 얼굴 인식이나 지문 로그인 등으로 기기를 분실하거나 도난당해도 타인이 해제할 수 없도록 해야 합니다.

기기를 최신 상태로 유지
정기적으로 최신 Android 버전으로 업데이트합니다. 기기 운영 체제를 정기적으로 업데이트하면, 최신 보안 업데이트를 적용하여 공격자가 기기에 침투하지 못하도록 할 수 있습니다.

의심스러운 앱 다운로드하지 않기
제삼자 사이트에서는 불법 복제된 Android 앱을 쉽게 찾아볼 수 있습니다. 이러한 앱에 아무리 흥미가 동해도 다운로드해서는 안 됩니다. 스파이웨어가 들어있을 때가 많기 때문입니다. 안전을 위해 Google Play Store나 검증된 공식 웹사이트에서만 다운로드하는 것이 좋지만 Google Play Store 역시 악성 코드에 취약하므로 조심해야 합니다.

팝업 광고 클릭하지 않기
현금이나 무료 제품을 약속하거나 지나치게 좋은 제안을 하는 팝업은 스파이웨어나 다른 형태의 악성 코드를 포함할 수 있습니다. 클릭할 때 신중해야 합니다.

백신 소프트웨어 사용
백신 소프트웨어는 스파이웨어를 검사하고 제거할 뿐만 아니라 Android 기기에서 스파이웨어 감염을 미리 방지할 수도 있습니다. 기기가 위협에 노출되면, 백신이 웹사이트에서 나가거나 진행 중인 다운로드를 취소하도록 경고할 것입니다. 대안으로, 해당 사이트에서 해로운 데이터를 차단하거나 의심스러운 파일을 다운로드하지 못하도록 할 수 있습니다.

연관 제품: