모바일 생태계에서 사용자 경험을 가장 개인적인 차원까지 연결시키는 데이팅 애플리케이션은 사이버 공격자들에게 매력적인 표적이 되고 있다. 특히 생성AI 기반의 사회공학 기법이 고도화되고 있는 상황에서, 신뢰와 감정을 디지털 무기로 활용하는 피싱 캠페인이 증가하고 있다. 글로벌 모바일 보안 기업들은 이러한 위협에 대응하기 위해 사용자 보호 기능을 강화하고 있으며, 기업 및 개인 모두 보다 강력한 보안 의식이 요구되고 있다.

250개 이상 악성 앱 통해 정보 탈취...피싱 도메인 80개 이상 활용

모바일 보안 솔루션 기업 짐페리움(Zimperium)이 자사의 위협 연구조직 zLabs가 ‘사랑트랩(SarangTrap)’으로 명명된 모바일 맬웨어 캠페인을 발견했다고 밝혔다. 이 캠페인은 250개 이상의 악성 안드로이드 애플리케이션과 80개 이상의 피싱 도메인을 이용해 사용자 개인정보를 탈취하는 것이 특징이다.

이번에 발견된 악성 앱들은 실제 데이팅 앱과 유사한 사용자 인터페이스를 제공하면서도, 설치 이후 연락처, 사진, 기기 식별자 등 민감한 정보에 대한 접근 권한을 요구한다. 피해자들은 “초대 코드”와 같은 독점적 요소로 유인된 뒤, 악성 앱을 통해 수집된 개인정보가 유출되고, 일부는 협박이나 갈취 시도에까지 노출되는 것으로 확인됐다.

짐페리움은 이번 캠페인이 단순한 맬웨어 배포를 넘어, ‘신뢰와 감정을 디지털 무기화한 사이버 공격’이라고 분석했다. 사용자들이 연애 또는 소셜 네트워킹을 기대하며 앱을 설치하는 과정에서, 자신의 가장 민감한 데이터를 스스로 제공하게 된다는 점에서 심각성이 크다. 피해자들은 보통 “특별한 연결”을 명분으로 감정적으로 설계된 메시지를 받고, 결국 사기성 행위에 노출되게 된다.

이 캠페인은 안드로이드뿐 아니라 iOS 기기 사용자도 대상으로 삼고 있다. 특히 악성 구성 프로필을 통해 iOS 시스템 접근 권한을 얻는 방식으로 작동하며, 합법적인 설치 방식처럼 위장된다. 또한 피싱 도메인의 상당수는 유명 검색 엔진에 색인돼 있어, 사용자는 해당 링크를 일반 앱 정보나 다운로드 경로로 오인할 수 있다.

사용자 대상 권고 사항과 대응 필요성

짐페리움은 모바일 사용자들에게 다음과 같은 보안 수칙을 권고하고 있다. 첫째, 과도하거나 특이한 권한을 요구하는 앱에 대한 경계를 유지하고, “초대 코드” 방식으로 접근을 유도하는 앱은 특히 주의해야 한다. 둘째, 공식 앱스토어 외 비공식 경로로 앱을 다운로드하지 말아야 하며, 의심스러운 링크는 클릭하지 않아야 한다.

셋째, 설치된 앱의 권한과 구성 프로필을 주기적으로 확인하고 불필요하거나 출처가 불분명한 항목은 삭제해야 한다. 마지막으로, 악성 앱을 탐지하고 차단할 수 있는 모바일 보안 솔루션을 장치에 설치하는 것이 필요하다. 이러한 조치들은 개인 사용자뿐 아니라 기업 모바일 환경에서도 필수적인 보안 수단이 된다.

이번 짐페리움의 발표는 일반 개인 사용자뿐만 아니라, 기업 및 조직의 모바일 보안 전략에도 중요한 경고 메시지를 던지고 있다. 모바일 업무 환경이 일반화된 가운데, 개인 기기를 통해 기업 이메일, 커뮤니케이션 앱, 인증 시스템에 접근하는 상황이 많아지고 있다. 따라서 감정 조작을 활용한 맬웨어가 조직 내부 시스템으로 침투할 가능성 또한 배제할 수 없다.

향후 기업들은 모바일 보안 솔루션의 도입뿐 아니라, 임직원 대상의 보안 인식 제고 교육과, 디지털 감정 조작 유형에 대한 경각심을 강화할 필요가 있다. 짐페리움이 경고한 사랑트랩 캠페인은 단지 연애 사기를 가장한 피싱이 아니라, 인간의 가장 개인적인 부분을 타깃으로 삼는 고도화된 사이버 위협의 신호탄이다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.