북한의 기도 위장한 악성앱, 또 등장...카톡으로 유포

탈북자 노린 ‘북한의 기도’ 위장한 악성앱...감시위해 정보탈취
북한의 기도 앱 실행, Overlay 이용해 특정 광고 띄운뒤 사용자 몰래 앱 설치

[보안뉴스 김경애 기자] 본지가 앞서 보도한 ‘북한의 기도’라는 악성앱이 최근 또 다시 발견되어 이용자들의 주의가 요구된다. 이 악성앱은 한국으로 귀순한 탈북자를 노리고 있으며, 카카오톡 메신저를 통해 전파되고 있다.

▲특정 광고 화면(좌측)과 북한기도 관련 문구 화면(우측) [이미지=하우리 제공]

보안업체 하우리에 따르면 “악성앱은 카카오톡 같은 메신저를 통해 전파돼며, 이용자가 지인인 줄 알고 대화에 응해 상대방이 보낸 URL이나 앱 설치파일을 누르면 설치된다”며, “‘북한의 기도’라는 앱으로 위장해 배포되고 있다”며 주의를 당부했다.

악성앱이 단말기에 설치되면, 상대방의 사생활을 감시하고 개인의 민감한 정보를 탈취해 악성코드와 통신하는 C&C로 전송한다.

북한의 기도 앱을 실행하면 Overlay를 이용해 특정 광고를 강제로 최상단에 띄운뒤 사용자 몰래 인증 되지 않은 앱을 설치한다. 특정 광고가 끝나면 북한의 기도에 관련된 문구 화면이 나타난다. 이 악성파일은 bbb.apk 파일이며, 구글 스토어에 있는 정상 통화 녹음 앱의 코드를 일부 수정해서 리패키징한 APK 파일이다. aaa.apk 파일은 기기 정보를 탈취하고 C&C로부터 DEX파일을 다운받아 메모리에 로딩한 뒤 실행시킨다.

서버로부터 Command 번호와 cmd[번호].dex를 저장할 경로, yandex 토큰 정보를 받아오고, C&C로부터 받은 cmd12.dex파일을 DexLoader를 통해 메모리에 로딩한 뒤 실행한다. 그런다음 C&C로부터 custom.dex 파일을 다운 받은 뒤 실행한다. cmd12.dex 파일은 카카오톡 대화 내용을 탈취한다. custom.dex 파일에서 개인 정보를 감시하고 탈취한 뒤 서버로 전송한다.

다행히 현재 카카오톡 버전은 탈취가 불가능하기 때문에 이용자들은 카카오톡 버전을 최신버전으로 유지하고, URL클릭에 주의해야 한다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)