‘문재인·국정원·기무사’ 등 키워드 입력 시 파일 외부로 빼돌려
[천지일보=홍수영 기자] 국내 대도시의 버스 정보를 알려주는 안드로이드 애플리케이션(앱)에서 사용자 정보를 빼돌리는 밀웨어(악성코드)가 확인됐다.
10일 글로벌 보안 업체 맥아피의 모바일 연구팀이 최근 블로그에 올린 글에 따르면 ‘대구버스’와 ‘광주버스’ ‘전주버스’ ‘창원버스’ 등 같은 제작자가 만든 4개 안드로이드 앱의 특정 버전에서 악성코드가 발견됐다.
이 앱에 들어간 악성코드는 스마트폰에서 특정 키워드가 들어있는 파일을 찾아 외부 서버로 유출하는 기능을 갖고 있다.
해당 키워드는 ‘북한’ ‘국정원’ ‘청와대’ ‘문재인’ ‘작계’ ‘대장’ ‘전차’ ‘사단’ ‘기무사’ ‘국회’ 통일부‘ 등이다.
맥아피는 “이 악성코드는 흔한 피싱을 위해 만들어진 게 아닌 매우 표적화된 공격으로 피해자의 스마트폰에서 군사·정치와 관련된 파일을 찾아 기밀 정보를 유출하려는 것으로 보인다”고 밝혔다.
이같이 군사·안보·정치와 관련되 파일을 유출한다는 점에서 북한이 연루됐을 가능성도 제기되고 있다. 북한 소행으로 의심되는 해킹 시도는 국내에서 계속 발견되고 있다. 통일부 출입 기자단에 악성코드가 담긴 메일이 배포되거나 설 선물 내용으로 위장된 사이버 공격 등이 그 예다.
또 가짜 구글 로그인 화면을 보여준 뒤 사용자의 구글 아이디와 패스워드를 훔치는 피싱 공격도 감행한다.
이 앱은 구글플레이에 올라온 자체로는 악성코드가 없기 때문에 그동안 구글의 감시를 피할 수 있었던 것으로 풀이된다.
사용자가 이 앱을 설치하면 곧바로 추가 플러그인이 다운로드되는데 바로 여기에 악성코드가 포함된 것으로 맥아피는 분석했다.
악성코드가 담겨있는 대구버스 버전은 2.2.6, 전주버스는 3.6.5, 광주버스는 3.3.7, 창원버스는 1.0.3 인데, 공교롭게도 모두 지난해 8월 9일자 업데이트다.
50만회 다운로드를 넘긴 전주버스의 경우 지난 2014년 전주시 주최 공공데이터 활용 공모전에서 최우수상을 받은 경력도 있다. 지금은 개발자 이름을 바꾼 뒤 새 버전으로 구글플레이에 업로드 된 상태다.
맥아피는 “신뢰할 수 있는 출처에서 다운로드했다고 할지라도 완전히 신뢰할만한 앱을 설치해야 한다”고 당부했다.