북한 선전사이트인 ‘조선의오늘’이 모바일 애플리케이션(앱)을 유포하고 있는 가운데, 사용자의 정보를 빼앗는 멀웨어(Malware)일 가능성이 제기된다. 북한 주민들이 선전사이트에 접속할 수 없다는 점으로 미뤄 일반 사용자들을 공격대상으로 삼았을 가능성이 있다.
‘조선의오늘’은 약 한 달 전부터 모바일 애플리케이션을 자신들의 홈페이지에서 다운로드받을 수 있도록 링크를 개설했다. 링크를 클릭하면 압축파일이 다운로드되며 내부에는 안드로이드 응용 프로그램 패키지(Android application package, APK)가 있다.
해당 파일을 악성코드 정밀 분석 온라인 사이트인 조샌드박스(Joe sandbox)에 업로드 후 분석한 결과, 악성으로 판정됐으며 ‘Evador’로 나타났다. 악성 행위를 수행하고 있다는 사실을 가능한 한 들키지 않고 지속하기 위해 회피(evasion) 앱이라는 형태로 제작했다는 뜻이다.
안드로이드 앱은 개발 시 공개키 인증서가 필요하다. 여기에는 개발자 이름, 소속, 이메일 주소, 인증기관의 개인 키로 만든 디지털 서명 등의 정보가 담겨있다. 그러나 조선의오늘 앱에는 개발자, 인증기관에 대한 정보가 불분명하다. 누가 앱을 개발했고 어느 곳에서 안전함을 인증했는지 불분명하다는 이야기다.
또한 앱은 사용자에게 핸드폰 정보, 외부 저장소 읽기, 인터넷 사용 권한, 와이파이 상태 변경 정보, 블루투스 권한을 요구한다.
안드로이드 앱에서 이런 권한 요구는 실행 환경을 만들기 위해 흔히 있는 일이다. 그러나 개인정보가 알 수 없는 개발자 혹은 북한과 밀접한 관련이 있는 사람에게 흘러 들어갈 수 있다는 점에서 주의가 필요해 보인다.
사용자가 앱이 요청한 핸드폰 정보 접근 권한을 허락하면 전화번호, 음성통화 및 데이터통신 상태, 통신사 및 망사업자 정보를 알 수 있다. 외부 저장소를 읽게 되면 미디어 파일에 접근할 수 있게 된다.
안드로이드 개발자를 위한 공식 사이트에는 위치정보 권한을 획득하면 50m 이내이며 몇 미터 내의 정확도를 얻을 수 있다고 설명하고 있다.
또한 앱이 블루투스 관련 권한을 획득하면 기기 검색을 시작하거나 블루투스 설정을 조작, 사용자의 위치를 추적할 수도 있다.
조사분석 보고서에 따르면 이런 기능들이 복합적으로 작용하면 ‘승인 없이 원격으로 장치 추적’ ‘승인 없이 원격으로 데이터 지우기’ ‘장치 클라우드 백업 가져오기’가 나타날 수 있다고 설명하고 있다.
일반적으로 북한 주민들이 선전사이트에 접속할 수 없다는 점에서 다른 국가의 사이트 접속자들을 노린 것으로 보인다. 특히 앱이 영어 버전이 없다는 점에서 한국어 이용자를 노렸을 가능성이 높다.
익명을 요구한 한 보안전문가는 “일반적인 안드로이드 앱의 권한 요구로 보인다”면서 “특별히 악의적인 앱으로 판단한 만한 것은 없어 보인다”고 말했다.
이어 그는 “그러나 (각종 개인) 정보가 북한에서 개발한 개발자에게 넘어갈 우려는 있다”면서 “가급적 휴대전화에 북한 앱을 설치하지 않는 것이 좋다”고 덧붙였다.
