북한 정부와 연계된 해커 그룹이 구글 플레이(Google Play) 앱 스토어에 안드로이드 스파이웨어를 업로드하고 일부 사용자를 속여 이를 다운로드하도록 만든 것으로 밝혀졌습니다. 사이버 보안 기업 룩아웃(Lookout)은 수요일 발표한 보고서를 통해 이 같은 사실을 공개했습니다.
북한 정부 연계 스파이웨어 ‘KoSpy’ 발견
룩아웃은 이번 공격에서 ‘KoSpy’라는 안드로이드 스파이웨어가 사용되었으며, 이를 북한 정부와 “높은 확신(high confidence)”을 가지고 연관 짓고 있다고 밝혔습니다.
해당 스파이웨어 앱 중 하나는 한때 구글 플레이에 등록되어 있었으며, 10회 이상 다운로드된 기록이 있습니다. 룩아웃은 해당 앱의 페이지를 캐시된 스냅샷을 통해 확인했으며, 보고서에 해당 페이지의 스크린샷을 포함했습니다.
북한 해커들의 감시 목적 스파이웨어 공격
최근 북한 해커들은 암호화폐 거래소 해킹을 통해 수십억 달러 규모의 자금을 탈취하는 사건으로 주목받고 있습니다. 예를 들어, 북한은 최근 바이빗(Bybit) 거래소에서 약 14억 달러 상당의 이더리움을 훔쳤습니다. 이는 북한의 금지된 핵무기 프로그램을 위한 자금 마련 차원으로 분석됩니다.
하지만 이번 스파이웨어 공격은 금전적 목적이 아닌 감시 활동에 초점이 맞춰져 있는 것으로 보입니다. 룩아웃이 분석한 KoSpy 스파이웨어의 기능을 보면, 특정 개인을 감시하기 위한 고도로 표적화된 공격으로 판단됩니다.
KoSpy 스파이웨어의 주요 기능
룩아웃에 따르면, KoSpy는 다음과 같은 민감한 정보를 수집할 수 있습니다.
- SMS 문자 메시지
- 통화 기록
- 기기의 위치 데이터
- 기기 내 파일 및 폴더
- 사용자가 입력한 키스트로크(키보드 입력)
- Wi-Fi 네트워크 정보
- 설치된 앱 목록
뿐만 아니라 KoSpy는 오디오 녹음, 스마트폰 카메라를 이용한 사진 촬영, 화면 캡처 등의 기능도 수행할 수 있습니다.
룩아웃은 또한 KoSpy가 구글 클라우드 인프라 기반의 데이터베이스인 ‘Firestore’를 이용해 초기 설정을 불러오도록 설계되었다고 밝혔습니다.
구글, 악성 앱 삭제 조치
구글 대변인 에드 페르난데즈(Ed Fernandez)는 테크크런치(TechCrunch)와의 인터뷰에서 룩아웃의 보고서를 공유받았으며, 구글 플레이에서 해당 앱을 모두 삭제하고 관련된 파이어베이스(Firebase) 프로젝트를 비활성화했다고 밝혔습니다.
그는 “구글 플레이는 구글 플레이 서비스가 제공되는 안드로이드 기기에서 이 악성코드의 알려진 버전으로부터 사용자를 자동으로 보호한다”고 말했습니다.
그러나 구글은 이번 공격이 북한 정부와 직접 연관이 있는지에 대한 질문에는 답변을 거부했습니다.
북한 정부 해커, 공식 앱 스토어를 지속적으로 악용
룩아웃은 이번 공격에서 스파이웨어 앱이 서드파티 앱 스토어인 APKPure에서도 발견되었다고 밝혔습니다. 그러나 APKPure 대변인은 룩아웃으로부터 관련 이메일을 받은 적이 없다고 주장했습니다.
스파이웨어 앱이 등록된 구글 플레이 페이지의 개발자 이메일 주소를 관리하는 개인(또는 그룹)은 테크크런치의 논평 요청에 응답하지 않았습니다.
룩아웃의 보안 전문가들은 이번 공격이 고도로 표적화된 작전이며, 영어 또는 한국어를 사용하는 특정 인물들을 대상으로 했을 가능성이 높다고 분석했습니다. 발견된 앱들 중 일부는 한국어로 되어 있으며, UI(사용자 인터페이스)도 한국어와 영어를 모두 지원하는 것으로 확인되었습니다.
룩아웃은 또한 해당 스파이웨어 앱이 북한 정부 해킹 그룹인 APT37과 APT43이 과거 사용했던 악성코드 및 명령·제어(C2) 인프라에서 발견된 도메인 및 IP 주소를 사용하고 있다는 점을 밝혀냈습니다.
룩아웃의 크리스토프 헤베이젠(Christoph Hebeisen)은 “북한의 해커들은 공식 앱 스토어에 악성 앱을 등록하는 데 자주 성공하는 것이 특징”이라고 지적했습니다.
결론: 북한 정부의 사이버 공격 지속 경계 필요
이번 사건은 북한 정부가 감시 및 정보 수집을 목적으로 사이버 스파이웨어 공격을 지속적으로 수행하고 있음을 시사합니다. 특히 공식 앱 스토어를 활용한 악성 앱 유포가 성공적으로 이루어지고 있어 사용자들의 경계가 필요합니다.
안드로이드 사용자는 앱을 설치하기 전 반드시 출처를 확인하고, 신뢰할 수 없는 앱의 설치를 지양해야 합니다. 또한 정기적인 보안 업데이트 및 안티바이러스 소프트웨어 사용을 통해 기기를 보호하는 것이 중요합니다.
