버스 앱 악성코드 북한 연루?

버스 앱 악성코드 북한 연루?

버스 앱 악성코드 북한 연루?

사진출처: 맥아피 블로그

내가 위치한 도시의 버스정보를 알려주는 대중적인 버스 안드로이드 어플에서 사용자 정보를 크래커에게 전송하는 맬웨어(악성코드)가 발견되어 논란이 커지고 있는데요. 이 맬웨어가 스마트폰에서 군사,안보,정치와 관련된 정보 파일을 찾아내서 전송한다는 이유로 북한이 이 사건에 연루되어있을 가능성이 제기되었는데요. 사실일까요?

어제자로 글로벌 보안 업체로 알려진 맥아피의 모바일 연구 팀에서 최근에 게시한 포스팅에 따르자면 대구버스, 광주버스, 전주버수, 창원버스라는 같은 제작자가 개발한 네 개 안드로이드 애플리케이션의 특정한 버전에서 악성코드가 발견됐다고 하는데요.

이 애플리케이션이 들어 있는 악성코드는 스마트폰에서 특정한 키워드가 포함된 파일을 찾아서 외부에 위치한 서버로 전송하는 기능을 가지고 있다고 합니다. 해당 키워드가 북한, 국정원, 청와대, 문제인, 작계, 대장, 전차, 사단, 기무일부 등이라고 하는데요. 평범하게 개인정보를 파는 크래커라면 이런 키워드 중심으로 작업을 하진 않겠죠? 공인인증서 관련 정보를 유출하거나, 돈이 될만한 개인정보를 유출할 텐데 이런 키워드들이라니 의혹이 들 만 하긴 합니다.

맥아피 측은 이 악성코드는 흔한 피싱을 위해서 만들어진 것이 아니고 매우 표적화된 공격으로 피해자의 스마트폰에서 군사 및 정치와 관련된 파일을 찾아서 기밀 정보를 유출시키려는 것으로 보인다고 분석한 바 있습니다.

북한 소행에서 의심되는 해킹 시도는 국내에서 최근에까지 빈번하게 발생하고 있어 문제가 되는데요. 최근 통일부 출입 기자단 측에 악성코드가 포함된 메일이 전송되고 설 선물 내용으로 조작된 사이버 공격이 일어나기도 했습니다.

또한 가짜 구글 로그인 화면을 띄워서 사용자의 구글 아이디 및 패스워드를 가로채려는 피싱 공격또한 감행되고 있습니다. 이 앱이 버젓이 구글 플레이 스토어에 올라온 것에 대해서 당연히 의문을 가질 수 밖에 없는데, 올라온 것 자체는 악성코드가 없었기에 한동안 구글의 감시를 피할 수 있었던 것으로 보인다고 합니다.

구글 측은 업데이트 시에도 반드시 애플리케이션에 악성코드가 포함되지는 않았는지 확인하는 절차를 추가해야 하지 않을까 생각합니다. 악성 코드 유포자는 해당 앱 개발자의 구글 계정을 해킹해서 정상적인 버스앱이 설치될 떄 악성 플러그인을 추가적으로 설치하게 했다고 합니다.

개발자에 따르면 해킹을 한 크래커가 알람과 메일을 삭제하는 등 아주 치밀한 방법을 사용해 이 사실을 알아챌 수 없었다고 합니다. 이후 개발자는 구글계정 2차 인증 설정, 개발장비를 사이버 수사대 점검을 마치며 악성코드가 포함되지 않은 앱을 구글 플레이 스토어에 게시했다고 합니다.

악성코드가 포함된 대구버스의 버전은 2.2.6, 전주버스는 3.6.5, 광주버스는 3.3.7, 창원버스는 1.0.3 입니다. 모두 2018년 8월 9일 자 업데이트인 것으로 볼 때, 이 날 해킹이 이루어진 게 아닌가 싶습니다. 전주버스 어플 같은 경우 지난 2014년에 전주시에서 주최한 공공데이터 활용 공모전에서 최우수상을 수상하기도 했습니다.

from http://mustinfo.tistory.com/336 by ccl(A)