지금 이 순간에도 누군가는 갓 생성한 24자리 비밀번호를 휴대폰 메모 앱에 복사하고 있다. "나중에 비밀번호 관리자로 옮겨야지"라고 스스로에게 말한다. 하지만 절대 옮기지 않을 것이다. 그리고 새롭게 발견된 안드로이드 악성코드 '페르세우스(Perseus)'는 바로 그 점을 노리고 있다.
보안 연구원들이 가짜 로그인 페이지나 자격 증명 탈취 오버레이를 사용하지 않는 새로운 유형의 안드로이드 트로이목마를 발견했다. 대신 이 악성코드는 훨씬 더 인내심 있는 방식을 취한다. 사용자의 메모, 문서, 저장된 텍스트 파일을 읽는 것이다. 비밀번호, 시드 구문, API 키, 개인 자격 증명과 유사한 모든 것을 스캔한 후 발견한 데이터를 조용히 외부로 유출한다.
BleepingComputer에 따르면, 이 악성코드는 모바일 위협의 작동 방식에 있어 의미 있는 진화를 보여주며, 능동적 피싱에서 자체 저장된 비밀정보에 대한 수동적 감시로 전환하고 있다.
이 차이는 겉보기보다 훨씬 중요하다.
페르세우스가 메모 앱을 감시 도구로 바꾸는 방법
페르세우스는 사이드로딩된 APK를 통해, 경우에 따라서는 서드파티 스토어를 통해 배포된 앱으로 기기에 침투한다. 설치되면 접근성 권한을 요청하는데, 이는 안드로이드 사용자들이 별다른 생각 없이 허용하도록 길들여진 흔한 수법이다.
이후 트로이목마는 극적인 행동을 하지 않는다. 화면 오버레이도 없다. 피싱 도메인으로의 리다이렉트도 없다. 단순히 메모 앱, 문서 편집기, 로컬 텍스트 파일에 대한 접근 권한을 확보한 후 패턴 매칭 로직을 적용하여 자격 증명과 유사한 문자열을 식별한다.
지금 당장 자신의 메모 앱에 무엇이 저장되어 있는지 생각해 보라. Wi-Fi 비밀번호. 계정 복구 코드. 이중 인증 백업 키. 아마 "임시로" 적어둔 암호화폐 지갑 시드 구문도 있을 것이다. 페르세우스는 정확히 이런 종류의 데이터를 찾도록 설계되었다.
이 악성코드는 정규식 스타일의 패턴 인식을 사용하여 고가치 문자열을 감지한다—특수 문자가 포함된 비밀번호, 12개 또는 24개 단어로 된 니모닉 구문, 영숫자 API 토큰 등. 이를 패키징하여 명령 및 제어(C2) 인프라로 전송하며, 배터리 소모는 최소화하고 눈에 보이는 네트워크 트래픽은 거의 발생시키지 않는다.
설계부터 조용하다.
페르세우스가 일반적인 트로이목마보다 더 위험한 이유
안드로이드 악성코드는 새로운 것이 아니다. 뱅킹 트로이목마는 수년간 존재해 왔다. 오버레이 공격, SMS 인터셉터, 화면 녹화기—모바일 위협 환경은 이미 포화 상태다. 그렇다면 왜 페르세우스에 주목해야 하는가?
어떤 기술적 보안 강화로도 완전히 해결할 수 없는 인간의 행동 습관을 악용하기 때문이다.
비밀번호 관리자가 있다. 암호화된 메모 앱이 있다. 보안 저장 솔루션은 널리 이용 가능하다. 하지만 여전히 압도적으로 많은 비율의 사용자가 민감한 자격 증명을 평문으로 저장한다. 2024년 Bitwarden 설문조사에 따르면 전 세계 응답자의 25%가 비밀번호를 기기의 메모 앱이나 텍스트 문서에 저장하고 있다고 인정했다. 실제 수치는 거의 확실히 이보다 높다.
페르세우스는 사용자를 속여 가짜 페이지에 비밀번호를 입력하게 만들 필요가 없다. 이미 적어놓은 곳을 읽기만 하면 된다.
이는 근본적으로 다른 위협 모델을 나타낸다. 기존의 모바일 피싱은 사용자 상호작용—클릭, 양식 제출, 속임의 순간—을 필요로 한다. 페르세우스는 설치 이후 사용자에게 아무것도 요구하지 않는다. 완전히 수동적이다. 그리고 수동적 위협은 탐지하기 더 어렵고, 사용자를 교육시키기 더 어려우며, 사후에 대응하기도 더 어렵다.
돌이킬 수 없는 손실: 암호화폐의 관점
디지털 자산을 보유하고 있는 사람이라면 특별한 경각심을 가져야 한다. 암호화폐 지갑은 시드 구문에 의존하는데, 일반적으로 자금에 대한 완전한 접근 권한을 나타내는 12개 또는 24개의 단어로 구성된다. 유출된 은행 비밀번호와 달리, 탈취된 시드 구문은 되돌릴 수 없는 손실을 의미한다. 지불 거절도 없다. 전화할 사기 대응 부서도 없다.
블록체인은 키가 어떻게 도난당했는지 신경 쓰지 않는다. 온체인에서 전송은 전송일 뿐이다.
역사적으로 클립보드 하이재커가 모바일에서 암호화폐 사용자를 노리는 주요 악성코드 벡터였다. 복사된 지갑 주소를 감시하다가 공격자의 주소로 바꿔치기하는 방식이었다. 페르세우스는 완전히 다른 접근 방식을 취한다. 복사하는 것을 감시하는 것이 아니라, 저장한 것을 읽는다.
시드 구문을 메모 앱에 입력한 적이 있다면—일시적으로라도, 단 한 번이라도—그 기기가 나중에 페르세우스 같은 악성코드에 감염되면 해당 자금은 노출된다. 여기에 부분적인 위험이란 없다.
요란한 익스플로잇에서 조용한 수집으로의 전환
페르세우스는 보안 연구원들이 지난 18개월간 추적해 온 패턴에 부합한다: 모바일 악성코드가 점점 더 조용해지고 있다.
이러한 변화는 공격자의 관점에서 합리적이다. 공격적인 악성코드—화면 오버레이, 빠른 데이터 유출, 빈번한 C2 통신—는 보안 도구에 의해 감지되고 사용자에 의해 빠르게 신고된다. 시끄러운 트로이목마의 반감기는 짧다.
페르세우스 같은 수동적 수집 악성코드는 기기에서 수주에서 수개월간 잔존할 수 있다. 행동 기반 경고를 유발하지 않는다. 사용자의 휴대폰이 느려지지 않는다. 배터리 수명도 정상이다. 아무 이상이 없어 보인다.
BleepingComputer의 보도에 따르면, 연구원들은 페르세우스가 최소 2025년 말부터 실제 환경에서 활동해 왔다고 판단하지만, 낮은 프로필의 운영 방식 때문에 탐지가 어려웠다. 영향을 받은 기기의 수는 아직 파악 중이다.
이는 데스크톱 악성코드에서 이미 나타난 추세를 반영한다. RedLine이나 Raccoon 같은 정보 탈취형 악성코드가 공격적인 즉석 탈취 방식에서 더 인내심 있고 지속성에 초점을 맞춘 도구로 진화한 것과 같다. 모바일도 같은 전략을 따르고 있으며, 다만 몇 년 뒤처져 있을 뿐이다.
Google Play 프로텍트의 한계
Android의 기본 보안 계층인 Google Play 프로텍트는 최근 몇 년간 크게 개선되었다. 사이드로딩 앱 스캔, 실시간 위협 탐지, 강화된 권한 관리 등이 기본적인 Android 사용 경험을 더 안전하게 만들었다.
하지만 페르세우스는 플랫폼 수준 방어의 한계를 드러낸다. 이 악성코드는 주로 사이드로딩된 APK와 서드파티 앱 스토어를 통해 확산되며, 이는 Google이 경고할 수는 있지만 완전히 통제할 수 없는 경로다. 그리고 페르세우스가 악용하는 접근성 권한은 수백만 개의 앱이 정당한 목적으로 사용하는 합법적인 Android 기능으로 남아 있다.
Google은 접근성 API 남용을 제한하기 위한 조치를 취해 왔다. Android 13과 14는 추가적인 프롬프트와 제한을 도입했다. 하지만 사용자가 이러한 권한을 부여할 수 있는 한, 악성코드 제작자들은 설득력 있게 요청하는 방법을 찾아낼 것이다.
더 어려운 문제는 문화적인 것이다. 많은 시장에서 사이드로딩은 소수만의 활동이 아니라 사람들이 앱을 얻는 방식 그 자체다. 서드파티 스토어는 Play 스토어의 접근이 제한되거나 유료 앱의 가격이 현지 경제 수준을 초과하는 지역에서 수억 명의 사용자에게 서비스를 제공한다. 이러한 사용자들에게 "Play 스토어만 사용하세요"라고 말하는 것은 현실적인 대응책이 아니다.
모바일 방어를 위한 세 가지 상반된 비전
보안 전문가들은 페르세우스가 모바일 방어 전략에 어떤 의미를 갖는지에 대해 다양한 견해를 제시했다.
일부는 이를 업계가 모바일에서 제로 트러스트 스토리지 모델을 더 강력히 추진해야 한다는 근거로 본다. 어떤 앱도 명시적이고 세분화된 철회 가능한 권한 없이는 다른 앱의 데이터를 읽을 수 없다면, 페르세우스 같은 악성코드는 구조적으로 불가능해진다. Android의 범위 지정 스토리지(scoped storage) 이니셔티브가 이 방향으로 나아가고 있지만, 앱 생태계 전반의 채택은 여전히 불균등하다.
다른 이들은 사용자 교육에 초점을 맞춰야 한다고 주장한다. 페르세우스가 악용하는 근본적인 취약점은 기술적인 것이 아니라 행동적인 것이다. 사람들은 쉽기 때문에 비밀번호를 평문으로 저장한다. 비밀번호 관리자를 사용하는 것이 메모 앱을 여는 것만큼 간편해질 때까지 상당수의 사용자는 전환하지 않을 것이다. 이 진영은 더 많은 플랫폼 제한보다는 보안 도구의 더 나은 UX를 추진한다.
세 번째 관점은 더 냉소적이지만 근거 없지 않은데, 모바일 운영체제가 메모 앱이 자격 증명 패턴과 일치하는 문자열을 저장하는 것을 아예 방지하거나, 최소한 사용자가 암호화되지 않은 형식으로 민감한 데이터를 저장하려고 할 때 경고해야 한다는 것이다. Apple의 iOS는 Safari 자동 완성 맥락에서 유사한 탐지를 실험하기 시작했지만, 일반적인 메모 저장에 대해 비교할 만한 기능은 아직 존재하지 않는다.
지금 당장 취해야 할 다섯 가지 조치
실질적인 조치는 간단명료하다.
메모 앱을 점검하라. 비밀번호, 시드 구문, 복구 코드처럼 보이는 것이 있는지 검색하라. 평문으로 저장된 자격 증명을 발견하면 적절한 비밀번호 관리자나 암호화된 볼트로 이동시킨 후 원본 메모를 삭제하라.
접근성 권한을 검토하라. Android에서 설정 > 접근성으로 이동하여 어떤 앱이 접근 권한을 가지고 있는지 확인하라. 익숙하지 않거나 불필요한 것이 있다면 권한을 해제하라.
무분별한 APK 사이드로딩을 중단하라. 출처를 진정으로 이해하고 신뢰하지 않는 한 설치하지 마라. "친구가 보내줬어"는 신뢰 체인이 아니다.
시드 구문 저장 방식을 재점검하라. 암호화폐 자산을 보유한 사람이라면, 시드 구문 보안은 일회성 이벤트가 아닌 지속적인 관행이라는 점을 상기하라. 시드 구문이 어떤 기기에서든 디지털 평문으로 존재한 적이 있다면, 해당 지갑에 여전히 상당한 자금을 보관해야 하는지 재고하라.
Play 프로텍트 스캔을 활성화하라. Google Play 프로텍트가 활성 상태이며 사이드로딩 앱을 스캔하도록 설정되어 있는지 확인하라—모든 것을 잡아내지는 못하지만 기본적인 보안 수준을 높여준다.
진짜 취약점은 인간의 본성이다
페르세우스는 역대 가장 정교한 악성코드가 아니다. 제로데이를 사용하지 않는다. 익스플로잇을 체이닝하지 않는다. 그럴 필요가 없다.
보안 도구가 보호하는 것과 인간이 실제로 하는 행동 사이의 격차를 겨냥하기 때문에 성공하는 것이다. 우리는 정교한 암호화 시스템을 구축해 놓고 비밀번호를 메모 앱에 입력한다. 해독 불가능한 키를 생성해 놓고 "중요한 것들"이라는 제목의 Google 문서에 저장한다.
여기서 얻을 진정한 교훈은 하나의 트로이목마에 관한 것이 아니다. 소프트웨어 취약점보다 인간의 행동 패턴을 식별하고 악용하는 데 있어 위협 행위자들의 정교함이 점점 높아지고 있다는 것이다. 2026년 가장 위험한 악성코드는 방어를 뚫고 들어오는 종류가 아닐 것이다. 눈에 띄는 곳에 남겨둔 것을 읽어내는 종류가 될 것이다.
*위험 고지: 본 기사는 정보 제공 목적으로만 작성되었으며 보안 또는 금융 조언을 구성하지 않습니다. 독자들은 자신의 기기 보안 상태에 대해 자체적인 평가를 수행하고, 필요한 경우 자격을 갖춘 전문가와 상담해야 합니다.*
