[오인광 기자] 국내 대도시의 버스 정보를 알려주는 안드로이드 앱에서 사용자 정보를 빼돌리는 악성코드가 발견됐다.

10일 글로벌 보안 업체 맥아피의 모바일 연구팀이 최근 게시한 글에 따르면 '대구버스'와 '광주버스', '전주버스', '창원버스' 등 같은 제작자가 만든 4개 안드로이드 앱의 특정 버전에서 맬웨어(악성코드)가 발견됐다.

▲ [맥아피 블로그 캡처]

이 앱에 붙어 있는 악성코드는 스마트폰에서 '북한', '국정원', '청와대', '문재인', '작계', '대장', '전차', '사단', '기무사', '국회', '통일부' 등 특정 키워드가 들어 있는 파일을 찾아 외부 서버로 유출하는 기능을 갖추고 있다.

맥아피는 "이 악성코드는 흔한 피싱을 위해 만들어진 게 아니라 매우 표적화된 공격으로 피해자의 스마트폰에서 군사 및 정치와 관련된 파일을 찾아 기밀 정보를 유출하려는 것으로 보인다"고 분석했다.

이 악성코드는 사용자의 스마트폰에서 군사·안보·정치와 관련된 파일을 찾아내 외부로 유출한다는 점에서 북한이 연루됐을 가능성도 제기되고 있다.

▲ 악성코드가 감염 스마트폰에서 검색한 키워드[맥아피 블로그 캡처]

북한 소행으로 의심되는 해킹 시도는 국내에서 최근까지도 빈번하게 발견되고 있다. 비근한 예로는 통일부 출입 기자단에 악성코드가 담긴 메일이 배포되고, 설 선물 내용으로 위장된 사이버 공격이 벌어지기도 했다.

또 가짜 구글 로그인 화면을 띄워 사용자의 구글 아이디와 패스워드를 훔치려는 피싱 공격도 감행한다.

이 앱은 구글플레이에 올라온 자체로는 악성코드가 없기에 한동안 구글의 감시를 피할 수 있었던 것으로 보인다.

사용자가 이 앱을 설치하면 곧바로 추가 플러그인이 다운로드되는데, 여기에 악성코드가 담긴 것으로 맥아피는 분석했다.

악성코드가 붙어 있는 대구버스의 버전은 2.2.6, 전주버스는 3.6.5, 광주버스는 3.3.7, 창원버스는 1.0.3이다. 모두 2018년 8월 9일 자 업데이트다.

50만회 다운로드를 넘긴 전주버스의 경우 지난 2014년 전주시 주최 공공데이터 활용 공모전에서 최우수상을 받기도 했다. 지금은 개발자 이름을 바꾸고 새 버전으로 구글플레이에 업로드돼 있다.

맥아피는 "신뢰할 수 있는 출처에서 다운로드했다고 할지라도 완전히 신뢰할만한 앱을 설치해야 한다"고 덧붙였다.

저작권자 © 뉴스파인더 무단전재 및 재배포 금지