글로벌 보안솔루션 기업인 맥아피(Macafee)와 팔로알토 네트웍스(Paloalto Networks)는 20일(현지시간) 국내 인기 모바일 성경통독 앱인 '갓피플 성경통독' 앱에서 휴대전화를 감염시켜 '좀비폰'으로 만드는 새로운 악성코드를 발견했다고 밝혔다.
팔로알토 네트웍스는 "이 악성코드가 주로 한국어를 사용하는 삼성 휴대전화 사용자를 대상으로 하고 있다"며 "일단 악성코드에 감염된 안드로이드 응용 프로그램 패키지(APK)가 설치되면 백도어 ELF를 자동으로 실행시켜 모바일 장치를 언제든 '좀비폰'으로 만들 수 있다"고 설명했다.
맥아피 모바일 연구팀은 "링크 연결 실행 포맷(ELF)에 백도어 파일을 포함시킨 새로운 안드로이드 악성코드로 북한과 연계된 것으로 알려진 악명높은 나사로(Lazarus) 해커그룹이 일반적으로 사용하는 방식"이라고 밝혔다.
나사로 해커그룹이 관련된 것이 확실하다면 그동안 PC 악성코드에 주력해왔던 방식에서 모바일로 전환한 첫 사례여서 추가 피해가 우려된다.
나사로는 그동안 2014년 소니 픽처스 해킹 공격과 워너크라이 랜섬웨어와 같은 대규모 사이버 공격의 배후로 지목되어 왔다.
맥아피는 "나사로 해커그룹의 이번 모바일 해킹이 첫 사례인지는 불분명하지만 모바일 세계에서 활동하고 있는 것은 분명하다"고 강조했다.
'갓피플 성경통독' 앱은 구글플레이에서 10만 명 이상이 다운로드 받은 앱으로 특히 크리스천 신자들이 대부분 설치하는 인기 성경 앱중 하나다. 정확히 얼마나 설치했는지는 확인되지 않고 있다.
현재 이 앱은 다운로드 설치와 실행이 정상적으로 되지만 감염 여부를 육안으로 확인하기는 힘들다. 악성코드를 심어놓고 구글플레이 앱 인증서를 교묘하게 위조했기 때문에 정상적인 앱으로 등록되어 있다. 앱 서비스 업체인 갓피플 웹사이트에도 공식 앱 목록에 올라있다.
해당 앱은 삭제하더라도 악성코드가 삭제되지 않을 가능성이 높다. 피해 확산을 막기 위해서는 삼성전자의 보안 업데이트와 갓피플의 앱 버전 업데이트, 또는 구글의 안드로이드 보안 업데이트가 당장 필요한 상황이다.
IT 매체 더넥스트웹은 "성경통독 앱을 사용하던 중 휴대전화가 갑자기 이상한 동작을 하면 해커에 조종되고 있다는 것을 생각해야 한다"고 전했다.
해커에 장악된 '좀비폰'은 사용자 의도와 상관없이 다른 네트워크에 연결하거나 하드웨어 장치를 조작할 수 있고, 사용자의 정보를 빼가거나 위치를 실시간으로 추적하고 도청장치로도 사용될 수 있어 이상한 증상이 발견되면 즉시 휴대전화의 전원을 끄고 가까운 A/S센터를 방문해 적절한 조치를 받아야 한다.