Focus 인사이드
지난주 열린 북·미 정상회담을 앞두고 악성 메일이 지속해서 발견됐다. 특히 시민들이 일상 사용하는 스마트폰 앱에 대한 보안 경고음이 울렸다. 대구ㆍ광주ㆍ전주ㆍ창원 등 4개 지역에서 인기를 끌던 버스앱이 해킹을 당해 군사ㆍ안보ㆍ정치와 직결된 정보탈취에 이용된 것으로 드러났다. 군사정보를 노린 사이버 공격은 대체로 관계자에 국한됐지만 이제 불특정 시민의 스마트폰까지 공격 대상이 됐다.
북한 소행 추정, 당국 경고 안해 #비핵화 회담 앞두고 사이버 침투 #버스앱 숨어 들어 악성코드 설치 #국가안보 자료 모조리 긁어모아
![[맥아피 블로그 캡처]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/201903/04/d20b3309-fc7a-4bc1-a671-41acfcde3fa8.jpg)
[맥아피 블로그 캡처]
이번 해킹 사건은 지난달 4일 글로벌 보안기업 맥아피가 구글 플레이 스토어(앱스토어)를 통해 국내 주요정보를 노린 악성 앱이 유포된 과정을 분석ㆍ공개하면서 알려졌다. 맥아피 자료에 따르면 같은 개발자가 만든 대구ㆍ광주ㆍ전주ㆍ창원버스 등 4개 버스앱 특정 버전(모두 2018년 8월 9일 업데이트 버전)에서 악성코드를 발견했다.
한동안 구글의 탐지를 피할 수 있었던 것은 처음 앱스토어에 올라온 버스앱에는 악성코드가 없었기 때문이다. 이후 사용자가 특정 버전의 앱을 설치하면 곧바로 플러그인되면서 추가로 악성코드가 설치됐다. 버스정류장 위치와 도착시각을 알려주던 버스앱이 어느 순간 정보를 빼내는 스파이 도구로 돌변한 것이다. 해당 앱 개발자는 지난해 8월 누군가가 자신의 구글 계정을 해킹해 악성코드가 담긴 특정 버전을 배포했다고 밝혔다.
![악성코드가 감염 스마트폰에서 검색한 키워드[맥아피 블로그 캡처]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/201903/04/31e61a22-4b49-49c0-a436-fececaa99181.jpg)
악성코드가 감염 스마트폰에서 검색한 키워드[맥아피 블로그 캡처]
해당 악성 앱은 스파이 행위를 하는 일명 ‘트로이목마’의 거의 모든 기능을 갖췄다. 스마트폰의 파일을 삭제ㆍ변경하거나 특정 키워드로 저장된 파일을 탐색해 일치하면 파일을 원격서버로 보내는 것은 기본이다. 악성 앱은 사용자 스마트폰에서 북한, 국방, 대북, 탈북, 국정원, 청와대, 작계, 작전, 대장, 전차, 사단, 기무사, 국회, 통일부 등 40여 개 키워드와 일치하는 파일들을 여러 사이트를 경유해 유출했다.
원격제어 서버의 소재지는 국내 3곳과 미국ㆍ인도네시아ㆍ칠레ㆍ터키ㆍ리투아니아ㆍ아제르바이잔ㆍ파푸아뉴기니 등 8곳, 모두 11곳이다. 또한, 공격자는 해당 앱 사용자에 대한 △구글 계정과 패스워드 탈취 △특정 계정에 대한 패스워드 복구 요청 △구글 계정을 새로 만들 때 복구 이메일 주소 설정을 통해 자신의 이메일로 재설정하려고 했다.
그래픽=박경민 기자 minn@joongang.co.kr
바른미래당 신용현 의원(국회 과학기술정보방송통신위원회 간사)에 의하면 국정원이 버스앱 해킹을 처음 인지했고 과기정통부와 인터넷진흥원에서 이를 바로 잡는 조치를 했다지만, 해킹을 당한 사람을 포함해 어느 사람도 이 사실을 알지 못한 채 모든 것이 비밀에 부쳐졌다는 것이다.
북한의 소행으로 보이지만 당국은 아직 이렇다 할 경고나 피해 사실을 알리지 않고 있다. 일반 시민에까지 손을 뻗쳐 광범위하게 정보를 취합하고 있다는 점에서 흐지부지 넘어갈 문제가 아니다. 바른미래당은 지난달 20일 논평을 통해 “일각에서는 해킹범죄의 실체가 드러날 경우, 현재 대북관계 경색을 우려한 정부가 의도적으로 정보를 통제하고 있다는 주장이 제기되고 있다”고 지적했다.
2018년 5월 맥아피는 북한 추정 해커조직이 탈북민과 언론인 등을 겨냥해 생활정보로 위장한 악성 앱 3개를 유포했는데 이때 사용한 인터넷주소가 북한이라고 밝혔다. 보안기업 시만텍은 마이크로소프트의 앱스토어에서 2018년 4월과 12월 사이에 등록된 악성 앱을 찾아내 글로벌 정보기업이 운영하는 앱스토어에 대한 불신을 추가하고 있다. 이런 와중에 카카오톡ㆍ페이스북 등 소셜네트워크로 탈북민에 접근하고 악성 앱 설치를 유도하는 사이버 공격이 끊이지 않고 있다.
![김정은 북한 국무위원장과 트럼프 미국 대통령이 지난달 27일 베트남 하노이 메트로폴 호텔에서 단독회담 후 친교 만찬하는 모습. [노동신문=뉴스1]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/201903/04/3af3087a-fd5c-4856-8a65-c81ce3dd7947.jpg)
김정은 북한 국무위원장과 트럼프 미국 대통령이 지난달 27일 베트남 하노이 메트로폴 호텔에서 단독회담 후 친교 만찬하는 모습. [노동신문=뉴스1]
북·미 정상회담을 미끼로 한 표적화한 악성메일은 심각성을 더한다. 2018년 6월 1차 북·미 정상회담에 앞서 청와대 국가안보실을 사칭한 피싱메일이 발견됐고, 2019년 1월 통일부 기자단 77명에게 악성메일이 일괄 발송되는 등 남북 화해 분위기에도 사이버긴장은 여전하다. 지난주 27~28일 열리는 2차 북·미 정상회담을 앞둔 상황에서도 ‘북미정상회담 특별좌담회 초청장’(2월 21일)을 위장한 악성메일이 발견됐다.
버스앱 변조 사건은 지금까지 해오던 북한발(發) 사이버 공격의 연장선으로 봐야 한다. 특정인을 겨냥한 공격을 넘어 불특정 시민을 대상으로 국가안보와 관련된 자료를 모조리 긁어모으려 했다. 이는 사회불안을 야기하는 교란적 형태가 정찰과 감시로 바뀌었을 뿐, 아주 은밀하고 광범위하게 사이버 작전을 펼치고 있음을 보여준다. 당국은 공격 주체를 밝힘으로써 대국민 경각심을 일깨우고 국가 차원의 사이버안전대책을 마련해 공표해야 한다.
손영동 한양대학교 교수
