전체메뉴

[애플경제 이윤순 기자] 북한 정권과 연계된 해커 그룹이 안드로이드 스파이웨어를 구글 플레이 앱 스토어에 몰래 심어 다운로드하게 했다. 12일 사이버 보안 회사 룩아웃(Lookout)에 의해 밝혀진 바에 따르면 북한 당국과 연계된 ‘KoSpy’라고 불리는 안드로이드 스파이웨어의 전모가 새삼 드러났다.

이를 인용한 테크크런치는 “공식 안드로이드 앱 스토어의 앱 페이지에 대한 캐시된 스냅샷에 따르면, 적어도 하나의 스파이웨어 앱이 구글 플레이의 어느 시점에 침투했고, 이를 다운로드한 경우도 10차례 이상”이라고 밝혔다. 록아웃은 이에 해당 페이지의 스크린샷을 공개하기도 했다.

최근 암호화폐 거래소 바이빗(Bybit)에서 약 14억 달러 상당의 이더리움을 훔친 사건에서 보듯, 최근 몇 년 동안 북한 해터들은 맹렬한 사이버절도 행각을 벌여왔다. 이는 주로 자국의 핵무기 프로그램을 더욱 발전시키려는 의도에서 비롯된 것으로 해석된다.

수 년 전부터 맹렬한 사이버절도 행각

북한 스파이웨어 캠페인의 공격 대상은 알려지지 않았다. 그러나 룩아웃 관계자는 “몇 번만 다운로드하면 스파이웨어 앱이 특정인을 표적으로 삼을 가능성이 높다”고 경고했다. 이에 따르면 ‘KoSpy’는 SMS 문자 메시지, 통화 기록, 기기 위치 데이터, 기기의 파일 및 폴더, 사용자가 입력한 키 입력, Wi-Fi 네트워크 세부 정보, 설치된 앱 목록 등 ‘대량의 민감한 정보’를 수집한다.

KoSpy는 또한 오디오를 녹음하고, 휴대전화 카메라로 사진을 찍고, 사용 중인 화면의 스크린샷을 캡처할 수 있다. 또한 ‘초기 구성’을 검색하기 위해 구글 클라우드 인프라에 구축된 클라우드 데이터베이스인 ‘Firestore’에 의존한다는 사실도 이번에 밝혀졌다.

구글 측은 이에 대해 “식별된 모든 (악성)앱이 플레이에서 제거되었고, 구글 플레이의 ‘KoSpy’ 샘플을 포함, ‘Firebase’ 프로젝트 자체가 비활성화되었다.”고 밝혔다. 또 “구글 플레이 서비스가 있는 모든 안드로이드 기기의 맬웨어 버전으로부터 사용자를 자동으로 보호하고 있다”고 말했다.

사용자 인터페이스, 한국어와 영어 모두 지원

해당 보고서는 또한 타사 앱 스토어인 ‘APKPure’에서 일부 스파이웨어 앱을 발견했다고 밝혔다. 그러나 APKPure측은 “아직 룩아웃으로부터 어떤 정보도 제공받지 못했다”고 해 신속한 정보 공유와 대처가 필요함을 시사했다.

룩아웃도 아직은 이들 북한 해커들이 구체적으로 누구를 표적으로 삼았을지에 대한 정보는 없다. 그러나 추측컨대, 영어나 한국어를 사용하는 한국 사람들을 표적으로 삼았을 가능성이 크다. “특정한 한국 사람들을 타겟팅한 멜웨어”라는 얘기다.

그 근거로 앱 이름 자체가 한국어인 경우가 많고, 또 다른 경우는 아예 제목부터가 한국어인 점을 들고 있다. 사용자 인터페이스도 한국어와 영어, 두 가지를 모두 지원한다는 것이다.

또한 “이는 기존 북한 정부 해킹 그룹인 APT37과 APT43에서 사용하는 맬웨어나, 명령 및 제어 인프라에서 확인된 도메인 이름과 IP 주소를 사용하고 있다”고 밝혔다.