우즈베키스탄을 중심으로 급속 확산 중인 안드로이드 악성코드 '원더랜드(Wonderland)'가 단순 정보 탈취를 넘어 피해자의 스마트폰을 원격 조종해 실시간으로 금융자산을 약탈하는 새로운 유형의 사이버 위협으로 부상했다. 한국과 '특별 전략적 동반자 관계'를 맺고 있는 우즈베키스탄에서 발생한 이번 사태는 디지털 협력의 취약점을 드러내며 한국 안보에도 시사점을 던지고 있다.
보안 기업 그룹-IB(Group-IB)가 12월 발표한 분석 보고서에 따르면, 원더랜드는 정상 애플리케이션으로 위장한 '드로퍼(Dropper)'를 통해 침투한 뒤 양방향 통신으로 피해자를 실시간 감시하고 조종한다. 8월 처음 발견된 '미드나잇닷(MidnightDat)'과 10월 확인된 '라운드리프트(RoundRift)' 등 드로퍼 패밀리는 구글 플레이 스토어나 비디오 플레이어, 심지어 결혼 청첩장으로 위장해 사용자 경계심을 무력화시킨다.
원더랜드의 치명적 특징은 웹소켓(WebSocket) 프로토콜을 활용한 양방향 지휘통제 능력이다. 공격자는 지구 반대편에서도 감염 기기에 실시간 명령을 내려 USSD 코드 실행으로 선불폰 잔액을 확인하고, 은행 앱 푸시 알림을 가로채 삭제하며, 금융 거래 시도 순간에 맞춰 일회용 비밀번호(OTP)를 탈취해 즉시 자금을 이체한다. 이는 과거 일방향 데이터 전송에 그쳤던 악성코드와 차원이 다른 진화다.
배후 조직 '트리키원더스(TrickyWonders)'는 우즈베키스탄 디지털 생태계의 핵심인 텔레그램(Telegram)을 감염 경로로 악용한다. 다크웹에서 구매한 탈취 텔레그램 세션을 이용해 피해자 지인들에게 악성 앱 설치 파일을 유포하는 방식이다. 결혼식 초대장이나 흥미로운 비디오라는 메시지와 함께 전송된 악성코드는 사회적 신뢰를 매개로 전파되며, 감염 기기는 다시 자신의 연락처에 있는 다른 지인을 공격하는 숙주가 된다.
우즈베키스탄이 주 표적이 된 것은 국가 주도의 급격한 디지털 전환이 개인의 보안 의식 성숙 속도를 앞지른 결과다. 핀테크와 모바일 뱅킹 보급은 빠르게 이뤄졌으나 공식 앱 스토어 대신 텔레그램 채널을 통한 앱 설치 문화가 만연한 환경은 악성코드에 최적의 배양 접시가 됐다. 험오(HUMO), 우즈카드(Uzcard) 같은 로컬 결제 시스템이 봇을 통한 카드 정보 조회와 자금 탈취의 표적이 되고 있다.
한국과 우즈베키스탄은 올해 수교 33주년을 맞아 특별 전략적 동반자 관계를 심화하며 한국이 우즈베키스탄 전자정부 구축을 지원하고 '한-우즈벡 전자정부 협력센터'를 개소하는 등 디지털 현대화에 핵심 역할을 수행해 왔다. 그러나 원더랜드 사태는 한국 기술 지원으로 구축된 디지털 인프라가 악성코드 놀이터가 될 경우 한국형 IT 모델 신뢰도 하락으로 이어질 수 있음을 경고한다.
한국 역시 원더랜드와 유사한 위협에서 자유롭지 않다. 금융감독원과 경찰청 통계에 따르면 올해 1분기 보이스피싱 피해액은 3116억 원으로 전년 대비 2.2배 급증했다. 특히 청첩장, 택배 알림, 건강검진 결과를 사칭한 문자 메시지에 악성 URL을 포함시켜 드로퍼 앱 설치를 유도하는 수법은 우즈베키스탄 원더랜드 유포 방식과 판박이다. 안랩(AhnLab) 분석에 따르면 국내에서도 보안 앱을 우회하거나 삭제 시도하는 기능이 발견되고 있다.
북한 사이버 위협 그룹 '김수키(Kimsuky)' 역시 원더랜드와 유사한 전술을 구사하며 한국 물류 회사나 공공 기관을 사칭한 악성 앱으로 정보를 탈취하고 있다. 범죄 조직 기술과 국가 지원 해커 기술이 상호 모방하고 융합하는 현상은 한국 안보에 직접적 위협이 되고 있다.
원더랜드는 인도의 '넥서스루트(NexusRoute)', 튀르키예의 '프로그블라이트(FrogBlight)', 동남아시아의 '골드픽액스(GoldPickaxe)' 등 전 세계적으로 관측되는 모바일 위협의 거대 흐름 중 하나다. 넥서스루트는 인도 교통부나 전자 범칙금 납부 사이트를 정교하게 복제해 국가 기관 권위를 직접 사칭하고, 프로그블라이트는 소송 휘말렸다는 문자로 사법적 공포를 자극하며, 골드픽액스는 안면 인식 정보를 탈취해 딥페이크(Deepfake) 기술로 생체 인증을 뚫는다.
한국은 이러한 초국가적 위협에 대응하기 위해 국제 공조를 주도하고 있다. 지난 4월부터 8월까지 진행된 인터폴(INTERPOL) 주관 '시너지아 II(Synergia II)' 작전은 전 세계 95개국이 참여해 약 2만 2000개 악성 IP 주소와 서버를 폐쇄하고 41명의 용의자를 체포했다. 한국 경찰청은 자금 지원과 기술 정보 제공으로 핵심 파트너 역할을 수행하며 글로벌 사이버 안보 '룰 세터(Rule Setter)'로서 위상을 강화했다.
전문가들은 기술적 방어막을 넘어 디지털 시민성 교육과 신뢰 기반 보안 인프라 재구축이 필요하다고 강조한다. 사회공학적 공격이 인간의 감정을 어떻게 악용하는지 이해하고 디지털 자아를 지키는 법을 인문학적 소양과 결합해 교육해야 하며, 금융 사기 피해 발생 시 입증 책임을 개인에게 전가하는 관행을 개선하고 플랫폼 기업이 악성코드 유포 방지에 더 큰 책임을 지도록 하는 디지털 책임제 강화가 시급하다는 지적이다.
#원더랜드 #사이버안보 #우즈베키스탄 #한국외교 #악성코드