버스 앱 악성코드 북한 소행? '어떻게 유포됐나'

Photo Image
사진=SBS캡쳐

국내 대도시의 버스 도착과 출발 등의 정보를 알려주는 앱에서 악성코드가 발견됐다.
 
10일 글로벌 보안 업체 맥아피의 모바일 연구팀이 최근 게시한 글에 따르면 '대구버스', '광주버스', '전주버스', '창원버스' 등 같은 제작자가 만든 4개 안드로이드 앱의 특정 버전에서 악성코드가 발견됐다.

 
이 앱들은 현재 구글 플레이스토어에서 삭제된 상태다.
 
이 앱들에 붙어있는 악성코드는 스마트폰에서 특정 키워드가 들어있는 파일을 찾아 외부서버로 유출하는 기능을 갖췄다.

 
해당 키워드는 '북한'과 '국정원', '청와대', '문재인', '대통령', '기무사', '국회', '통일부', '작계', '대장' 등이다.
 
이같은 키워드로 인해 해킹이 북한 소행이 아니냐는 의심이 나오고 있다.
 
맥아피는 "이 악성코드는 흔한 피싱을 위해 만들어진 게 아니라 매우 표적화된 공격으로, 피해자의 스마트폰에서 군사 및 정치와 관련된 파일을 찾아 기밀 정보를 유출하려는 것으로 보인다"고 밝혔다.
 
이 앱은 구글플레이에 올라온 자체로는 악성코드가 없기에 한동안 구글의 감시를 피했던 것으로 보인다.
 
악성코드가 붙어 있는 대구버스의 버전은 2.2.6, 전주버스는 3.6.5, 광주버스는 3.3.7, 창원버스는 1.0.3이다. 모두 2018년 8월 9일 자 업데이트다.

개발자는 지난 8월 자신의 구글 개발자 아이디를 해킹한 누군가가 몰래 악성 플러그인이 포함된 특정 버전 설치 파일을 올린 것으로 보인다고 밝혔다.


전자신문인터넷 윤민지 기자 (yunmin@etnews.com)