RatOn이란 무엇인가
RatOn은 원격 접근 트로이목마(RAT) 계열의 악성코드로, 단순한 원격 제어를 넘어서 자동화된 절차를 통해 금전과 정보를 탈취하도록 설계되었습니다. 일반적인 RAT처럼 기기 원격 제어 기능을 갖추되, 다음과 같은 추가 기능을 통합해 ‘멀티툴’처럼 동작합니다:
- 가짜 오버레이를 띄워 은행 및 암호화폐 앱의 자격증명과 시드구문을 탈취
- 탈취한 계정으로 자동화된 화면 탭을 수행해 자금 이체를 완료
- 실시간 NFC 릴레이 공격으로 원격 결제 단말에서 비접촉 결제를 유발
- 탈취가 끝나거나 탈취할 것이 없으면 접근을 차단하고 랜섬 화면을 표시해 공포를 조성
RatOn은 공식 앱처럼 위장한 가짜 Google Play 페이지 또는 성인용 앱을 통해 사용자를 설득해 sideload(측면 설치)되도록 유도하는 사례가 보고되었습니다. 설치 후에는 기기의 지속 권한 확보를 위해 반드시 필요한 권한, 특히 접근성(Accessibility) 권한을 요구합니다.
감염 시 가능한 행동 목록
RatOn이 성공적으로 활성화되면 아래 행동을 수행할 수 있습니다.
- 가짜 오버레이: 금융·암호화폐 앱 위에 겹쳐 보이는 가짜 입력 화면을 생성하여 사용자 자격증명과 시드구문을 수집합니다.
- 자동 자금 이체: 획득한 인증 정보로 로그인한 뒤 자동 탭과 입력을 통해 계좌 이체를 완수합니다.
- NFC 릴레이 공격: 사용자의 NFC 통신을 실시간 가로채 원격 POS 단말에서 결제를 재현합니다.
- 랜섬화면: 데이터 암호화까지는 아니더라도 기기 잠금과 공포 유도를 통해 금전적 요구를 합니다.
중요: RatOn은 한 번 장악하면 제거가 까다로울 수 있으므로 사전 예방과 빠른 대응이 핵심입니다.
가짜 Google Play 페이지를 주의해야 하는 이유
가짜 Google Play 페이지는 RatOn 확산의 주요 원인입니다. 정식 Play 스토어 동작과 가짜 페이지의 동작은 눈으로 확인할 수 있는 차이가 있습니다.
- 정식 Play 스토어 링크를 클릭하면 자동으로 Google Play 스토어 앱이 열리고 설치가 진행됩니다. 별도의 브라우저 창에서 sideload를 권유하거나 APK 파일을 직접 다운로드하도록 하는 경우는 악성 시도입니다.
- 가짜 페이지는 브라우저 탭에서 열리고, 앱 파일(APK) 다운로드 후 수동으로 설치하도록 유도합니다. 이때 사용자는 ‘알 수 없는 출처’ 또는 ‘설치 허용’을 허용하라는 메시지를 받습니다.
의심스러운 경우 설치를 중단하고, 모든 앱에 대해 알 수 없는 앱 설치 권한을 차단하세요: 설정 → 개인정보 보호 → 특수 권한 → 알 수 없는 앱 설치.
중요: 공식 Play 스토어 링크는 브라우저가 아닌 Play 스토어 앱으로 연결되어야 합니다. 그렇지 않다면 설치를 진행하지 마십시오.
접근성 권한 엄격히 관리하기
RatOn은 접근성 서비스를 핵심 기능으로 활용합니다. 접근성 권한은 화면 내용을 읽고 상호작용할 수 있게 하며, 자동 탭·입력 같은 행동을 수행할 수 있게 합니다. 따라서 악성 앱이 이 권한을 획득하면 매우 위험합니다.
- 접근성 권한을 요구하는 앱은 반드시 신뢰 가능한 출처여야 합니다. 일반적인 앱이 접근성 권한을 요구한다면 요구 이유를 명확히 확인하세요.
- 권한 확인 경로: 설정 → 접근성 → 다운로드된 앱(또는 설치된 앱) 에서 접근성 권한을 가진 앱 목록을 확인하고, 불필요하거나 의심스러운 항목은 즉시 제거하세요.
Note: 접근성 권한을 부여한 앱은 사용자가 의도치 않은 클릭을 하게 만들 수 있으므로 최소 권한 원칙을 따르세요.
NFC는 필요할 때만 켜기
RatOn의 NFC 릴레이 공격을 방지하려면 평상시 NFC를 비활성화해 두는 것이 가장 쉽고 효과적입니다. 설정 경로: 설정 → 연결된 기기 → 연결 설정 → NFC.
주의: 백그라운드에서 이용되지 않더라도, 가짜 오버레이로 사용자를 유도해 NFC 결제를 하게 만들 수 있습니다. 예기치 않은 결제 요청이나 결제 정보 확인 프롬프트가 뜨면 즉시 의심하고 NFC를 꺼두세요.
암호화폐는 하드웨어 지갑을 사용하기
RatOn은 암호화폐 지갑의 시드구문을 가짜 오버레이로 탈취하는 것을 주요 목표로 삼습니다. 시드구문을 오프라인에서 안전하게 보관하는 하드웨어 지갑을 사용하면, 악성 앱이 트랜잭션을 구성하더라도 실제 승인(하드웨어 키 확인)이 없으면 자금이 이동하지 않습니다.
- 하드웨어 지갑은 초기 비용이 들지만, 장기적으로 암호화폐 보안을 크게 향상시킵니다.
- 시드구문을 절대로 모바일 기기에 그대로 보관하거나 사진으로 찍어 두지 마십시오.
신뢰할 수 있는 비밀번호 관리자 사용하기
평판 좋은 비밀번호 관리자는 오버레이를 통한 필드 도용을 대부분 방지합니다. 비밀번호 관리자는 해당 입력 필드가 실제 공식 앱 또는 웹사이트와 연관된 것인지 확인한 후에만 자동 채우기를 수행합니다.
- 자동 채우기가 의심스럽다면 수동 입력을 멈추고 앱의 정체를 확인하세요.
- 특히 sideload된 앱이나 불명확한 출처의 앱에는 앱별 로그인 정보를 입력하지 마십시오.
감염 의심 시 즉시 취해야 할 조치(사건 대응 러너북)
아래 절차는 감염 의심 시 우선적으로 따를 권장 조치입니다. 상황에 따라 순서를 바꿀 수 있지만, 기본 원칙은 증거 보존과 더 이상의 피해 방지입니다.
- 네트워크 차단: 가능한 경우 기기를 오프라인(비행기 모드)으로 전환하거나 Wi‑Fi/모바일 데이터를 차단합니다.
- NFC 비활성화: 설정 → 연결된 기기 → 연결 설정 → NFC에서 즉시 끕니다.
- 접근성 권한 차단: 설정 → 접근성 → 다운로드된 앱(또는 설치된 앱)에서 의심 앱의 접근성 권한을 해제합니다.
- 안전모드로 재부팅: 대부분의 서드파티 앱은 안전모드에서 실행되지 않습니다. 안전모드로 부팅 후 의심 앱을 찾아 제거하세요.
- 신뢰할 수 있는 백업에서 복원: 감염이 확실하면 공장 초기화 후 오프라인으로 저장한 신뢰 가능한 백업에서만 복원합니다.
- 계정 보안: 금융, 이메일, 암호화폐 계정의 비밀번호 변경 및 2단계 인증 설정을 즉시 수행합니다.
- 법적·사법 기관 신고: 금전적 피해가 발생했거나 개인정보 침해가 의심되면 관할 기관에 신고합니다.
중요: 랜섬 메시지에 굴복하거나 결제를 진행하지 마십시오. 공격자는 추가적인 요구를 계속할 가능성이 높습니다.
현장 운영자와 IT 관리자를 위한 역할 기반 체크리스트
사용자(일반 소비자):
- 출처가 불분명한 링크나 APK는 절대 설치하지 않는다.
- 접근성 권한 요청을 받을 때는 이유를 확인하고 불필요하면 거부한다.
- NFC는 사용 중일 때만 활성화한다.
- 하드웨어 지갑과 신뢰할 수 있는 비밀번호 관리자를 사용한다.
IT 관리자 및 보안 팀:
- 기업 정책으로 알 수 없는 앱 설치를 전사적으로 차단하고 MDM 프로파일에서 제어한다.
- 접근성 권한 및 특수 권한 사용 앱 목록을 정기적으로 감사한다.
- 엔드포인트 탐지 도구(EDR) 및 모바일 위협 방지(MTD) 솔루션을 도입한다.
- 사고 대응 플레이북을 마련하고, 정기 모의훈련을 수행한다.
암호화폐 보유자:
- 시드구문은 오프라인 종이 보관 또는 하드웨어 지갑에 보관한다.
- 트랜잭션 서명은 반드시 하드웨어 장치에서 직접 수행한다.
검증 항목과 수용 기준
감염 여부를 판단하거나 제거 후 완전 복구를 검증하기 위한 테스트 항목 예시:
- 접근성 권한 확인: 의심 앱이 접근성 권한을 보유하지 않아야 합니 다.
- 가짜 오버레이 재현 실패: 금융 앱 실행 시 의심스러운 오버레이가 나타나지 않아야 합니다.
- NFC 테스트: NFC가 꺼져 있을 때 외부 결제 요청이 발생하지 않아야 합니다.
- 백그라운드 통신 확인: 이상한 호스트로의 지속적인 네트워크 연결이 없어야 합니다.
수용 기준: 위 항목들이 모두 만족되면 기기는 정상 운영 상태로 간주할 수 있습니다. 의심이 남으면 공장 초기화 후 신뢰 가능한 백업으로 복원하세요.
간단한 분석 방법론(초기 탐지용)
- 패키지 식별: 의심 앱의 패키지 이름과 서명(certificate)을 확인합니다. 공식 앱과 패키지 이름이 다르면 의심합니다.
adb shell pm list packages -3
adb shell dumpsys package com.example.suspicious- 권한 점검: 접근성, 알 수 없는 앱 설치, 기기 관리자 권한 등을 확인합니다.
- 네트워크 통신 점검: 의심 앱이 외부로 지속적으로 연결되는지 로그를 통해 확인합니다.
Note: 전문 포렌식 절차가 필요하면 숙련된 엔지니어 또는 대응 업체에 의뢰하세요. 무분별한 조작은 증거를 훼손할 수 있습니다.
위험 매트릭스와 완화 방안
| 위험 | 가능성 | 영향 | 완화 방안 |
|---|---|---|---|
| 가짜 오버레이로 자격증명 탈취 | 높음 | 높음 | 접근성 권한 최소화, 비밀번호 관리자 사용 |
| 자동 자금 이체 | 중간 | 높음 | 계좌 알림, 이체 한도 설정, 2단계 인증 |
| NFC 릴레이 결제 | 중간 | 중간 | NFC 비활성화, 결제 단말에서 물리적 확인 요구 |
| 랜섬화면으로 인한 접근 차단 | 중간 | 중간 | 안전모드 부팅, 접근성 권한 해제, 공장 초기화 |
위험 완화의 핵심은 권한 통제, 신뢰할 수 있는 기기·앱 정책, 그리고 신속한 사고 대응입니다.
보안 하드닝 체크리스트
- 모든 기기에 최신 보안 업데이트를 적용합니다.
- 알 수 없는 출처의 앱 설치 전면 차단(개인/기업 정책 적용).
- 접근성·기기 관리자 권한을 정기 점검합니다.
- 모바일 위협 방지(MTD) 솔루션 도입을 검토합니다.
- 직원 교육을 통해 가짜 Play 스토어 페이지와 소셜 엔지니어링 공격을 인지시킵니다.
실패 사례와 대안적 접근
언제 이 조치들이 실패할 수 있는가:
- 사용자가 악성 앱을 수동으로 설치한 경우(사회공학 성공): 교육과 정책으로만 완전히 막기 어려움.
- 탈취된 인증 정보로 2단계 인증이 우회된 경우: 2단계 인증의 종류(예: SMS vs 하드웨어 토큰)에 따라 보완 필요.
대안적 접근:
- 기업은 MDM을 통해 앱 설치 정책을 강제하고, 민감 앱 접근 시 하드웨어 토큰을 요구하세요.
- 고액 거래는 오프라인 서명 또는 다중 승인 프로세스를 도입해 자동화된 이체 리스크를 줄이세요.
용어사전(한 줄 정의)
- RAT: 원격 접근 트로이목마로 원격에서 기기를 제어하는 악성코드.
- 접근성(Accessibility): 화면 읽기·상호작용을 가능하게 하는 안드로이드 권한.
- NFC: 가까운 거리 무선 통신 기술로 비접촉 결제에 사용.
- 시드구문: 암호화폐 지갑 복구에 필요한 단어 문자열.
요약
- RatOn은 접근성 권한과 가짜 Play 스토어를 악용해 다계층 탈취와 공포 기반 랜섬화를 수행하는 복합형 안드로이드 악성코드입니다.
- 사전 방어: 알 수 없는 앱 설치 차단, 접근성 권한 최소화, NFC 평상시 비활성화, 하드웨어 지갑 및 신뢰할 수 있는 비밀번호 관리자 사용.
- 사고 대응: 기기 오프라인, 접근성 권한 해제, 안전모드 부팅, 의심 앱 제거, 필요 시 공장 초기화 및 신뢰 백업으로 복원.
중요: 의심 사례가 발견되면 신속히 대응하고, 계정 비밀번호·2단계 인증을 변경하며 관할 기관에 신고하세요.
