'갓피플 성경통독' 앱에 악성코드 "좀비폰 된다"

"한국어 사용 삼성 휴대폰 사용자 노린 듯"…북한 연계 '나사로 해커그룹' 의심

구글플레이에서 현재 정상적으로 다운로드 받을 수 있는 성경통독 앱은 '좀비폰'이 될 수 있는 악성코드가 심어져 있어 사용자들의 주의가 필요한 상황이다. (이미지=구글플레이)
국내 인기 성경통독 앱에 스마트폰을 '좀비폰'으로 만드는 악성코드가 발견돼 안드로이드 사용자들 사이에 비상이 걸렸다.


글로벌 보안솔루션 기업인 맥아피(Macafee)와 팔로알토 네트웍스(Paloalto Networks)는 20일(현지시간) 국내 인기 모바일 성경통독 앱인 '갓피플 성경통독' 앱에서 휴대전화를 감염시켜 '좀비폰'으로 만드는 새로운 악성코드를 발견했다고 밝혔다.

팔로알토 네트웍스는 "이 악성코드가 주로 한국어를 사용하는 삼성 휴대전화 사용자를 대상으로 하고 있다"며 "일단 악성코드에 감염된 안드로이드 응용 프로그램 패키지(APK)가 설치되면 백도어 ELF를 자동으로 실행시켜 모바일 장치를 언제든 '좀비폰'으로 만들 수 있다"고 설명했다.

맥아피 모바일 연구팀은 "링크 연결 실행 포맷(ELF)에 백도어 파일을 포함시킨 새로운 안드로이드 악성코드로 북한과 연계된 것으로 알려진 악명높은 나사로(Lazarus) 해커그룹이 일반적으로 사용하는 방식"이라고 밝혔다.

나사로 해커그룹이 관련된 것이 확실하다면 그동안 PC 악성코드에 주력해왔던 방식에서 모바일로 전환한 첫 사례여서 추가 피해가 우려된다.

나사로는 그동안 2014년 소니 픽처스 해킹 공격과 워너크라이 랜섬웨어와 같은 대규모 사이버 공격의 배후로 지목되어 왔다.

맥아피는 "나사로 해커그룹의 이번 모바일 해킹이 첫 사례인지는 불분명하지만 모바일 세계에서 활동하고 있는 것은 분명하다"고 강조했다.

'갓피플 성경통독' 앱은 구글플레이에서 10만 명 이상이 다운로드 받은 앱으로 특히 크리스천 신자들이 대부분 설치하는 인기 성경 앱중 하나다. 정확히 얼마나 설치했는지는 확인되지 않고 있다.

현재 이 앱은 다운로드 설치와 실행이 정상적으로 되지만 감염 여부를 육안으로 확인하기는 힘들다. 악성코드를 심어놓고 구글플레이 앱 인증서를 교묘하게 위조했기 때문에 정상적인 앱으로 등록되어 있다. 앱 서비스 업체인 갓피플 웹사이트에도 공식 앱 목록에 올라있다.

모바일 악성코드는 안드로이드의 취약점을 파고들지 않고 가짜 인증서를 사용했다는 점이다. 위가 가짜 인증서. 아래가 진짜 인증서다.
악성코드가 구글플레이 플랫폼에서 감염된 것인지, 다른 네트워크를 통해 감염된 것인지도 불분명하다. 다만, 맥아피의 라 사마니 수석 연구원은 "이번 모바일 멀웨어 공격은 안드로이드의 알려진 특정 취약점을 악용한 것이 아니라 모바일 앱에 가짜 디지털 인증서가 사용됐다"고 설명했다.

해당 앱은 삭제하더라도 악성코드가 삭제되지 않을 가능성이 높다. 피해 확산을 막기 위해서는 삼성전자의 보안 업데이트와 갓피플의 앱 버전 업데이트, 또는 구글의 안드로이드 보안 업데이트가 당장 필요한 상황이다.

IT 매체 더넥스트웹은 "성경통독 앱을 사용하던 중 휴대전화가 갑자기 이상한 동작을 하면 해커에 조종되고 있다는 것을 생각해야 한다"고 전했다.

해커에 장악된 '좀비폰'은 사용자 의도와 상관없이 다른 네트워크에 연결하거나 하드웨어 장치를 조작할 수 있고, 사용자의 정보를 빼가거나 위치를 실시간으로 추적하고 도청장치로도 사용될 수 있어 이상한 증상이 발견되면 즉시 휴대전화의 전원을 끄고 가까운 A/S센터를 방문해 적절한 조치를 받아야 한다.

실시간 랭킹 뉴스