한글 성경통독 모바일 앱으로 위장한 안드로이드 악성코드가 발견돼 사용자들의 주의가 요망된다.
구글 플레이에 등록된 원래 앱에는 문제가 없었으나, 해커가 악성 코드를 심은 변형 앱을 만들어 불법 앱 마켓 등을 통해 전파한 것으로 추정된다.
1일 보안업계에 따르면 '갓피플 성경통독' 앱으로 위장해 백도어(뒷문) 파일을 숨겨 둔 변형 앱을 맥아피와 팔로알토네트웍스 등의 분석팀이 발견해 지난달 하순에 보고했다.
이 변형 앱이 설치된 스마트폰은 해커가 원격으로 조종할 수 있는 '좀비폰'이 돼 개인정보 유출, 위치 추적, 도청 등을 당할 우려가 있다.
정상 앱을 제작한 갓피플은 변형 악성 앱이 발견되자 정상 앱을 일단 구글 플레이 스토어에서 내렸다가 약 1주일만인 지난달 28일 안전성을 확인한 후 이를 다시 올렸다.
분석 결과 정상 경로인 구글 플레이를 통해 배포된 정상 앱에는 악성코드가 포함돼 있지 않았으며, 변형 앱은 불법으로 운영되는 앱 블랙마켓을 통해 유통된 것으로 나타났다.
정상 앱은 구글 플레이를 통해 11만여건 다운로드된 것으로 집계됐으나, 변형 악성 앱의 확산 규모는 알려지지 않고 있다.
맥아피는 변형 앱을 분석한 결과 해킹집단 '라자루스 그룹'의 기존 PC용 악성코드와 유사성이 있었다고 보고했다.
라자루스 그룹이 만든 것으로 추정되는 모바일용 악성코드가 발견된 것은 이번이 처음이다.
라자루스 그룹은 북한과 연계가 있다는 의심을 받는 해커 집단이다. 이 집단은 2009∼2012년 우리 정부기관들을 겨냥한 분산서비스거부(DDoS) 공격과 2014년 미국 소니 픽처스 해킹 등을 저지른 것으로 추정된다.
또 2015년부터는 베트남, 폴란드, 멕시코, 방글라데시, 대만 등에서 은행들을 공격했고 이 중 일부는 성공했다. 올해 5월 전세계를 강타한 워너크라이(WannaCry) 악성코드 공격도 이 집단의 소행일 가능성이 크다고 분석하는 보안업체들이 많다.
다만 해킹 그룹은 비밀리에 활동하며 자취를 남기지 않기 위해 거짓 정보를 심어 놓는 것이 상식이므로, 북한 배후설 등의 실체가 확인되지는 않고 있다.