시민 5천명 이상이 설치한 듯
특정단어 입력땐 자동 업로드
앱 개발자 “구글 계정 털렸다”
北 소행여부 놓고 논쟁도 붙어

악성코드에 감염된 ‘대구버스’앱의 아이콘.

대구 시내버스 운행 정보를 알려주는 안드로이드 앱 중 한 곳에서 군사·안보 자료를 빼내는 기능을 갖춘 악성코드가 발견돼 당국이 조사에 나섰다. 해커들이 사용자 스마트폰에서 찾으려는 파일의 검색 키워드는 ‘문재인 대통령’ ‘북한’ ‘국방’ ‘국정원’ ‘탈북’ ‘청와대’ 등이며, 대구시민 5천명 이상이 이 앱을 설치한 것으로 추정되고 있다.

이 같은 사실은 글로벌 보안 업체 맥아피(McAfee) 모바일 연구팀이 최근 블로그를 통해 ‘대구버스’ ‘광주버스’ ‘전주버스’ ‘창원버스’ 등 같은 제작자가 만든 4개 안드로이드 앱의 특정 버전에서 악성코드가 발견됐다고 밝히면서 드러났다. 10일 대구시 등에 따르면 악성코드가 붙어 있는 ‘대구버스’의 버전은 2.2.6으로 2018년 8월9일자로 업데이트됐다. 이 악성코드는 사용자가 SNS를 하는 중에 해커들이 지정한 단어를 입력하면 자동 업로드된다. SNS 사찰뿐만 아니라 다운로드·로그인 기록 확인, 패스워드·아이디 확인, e메일 변경 등의 기능까지 있었던 것으로 알려졌다.

유출 정보가 정치·군사·안보 등 민감한 사항을 담고 있는 사실이 알려지면서 인터넷 커뮤니티 ‘클리앙’에서는 북한 소행 여부를 놓고 논쟁이 벌어지고 있다. 버스 앱 개발자는 “지난해 8월 개발자의 구글 계정이 해킹 당하고 개발자도 모르는 사이 악성코드가 삽입돼 배포됐다"며 “개인 프로젝트로 만든 앱이라 여러 가지로 신경을 쓰지 못했던 보안 문제가 한 번에 터졌다”고 설명했다. 이어 “구글 계정이 털리니 다른 코드저장소인 빗버킷도 구글 계정으로 로그인할 수 있어 소스코드까지 한꺼번에 털렸다”고 덧붙였다.

대구시 교통정보서비스센터 관계자는 “시는 PC와 모바일 웹에서만 버스노선 정보를 제공하기 때문에 버스 앱 악성코드 감염과는 무관하다”며 “현재 해당 앱의 개발자도 악성코드 감염 내용을 인지해 수정·보완한 버전을 제공하는 것으로 파악하고 있다”고 밝혔다.

강승규기자 kang@yeongnam.com

권혁준기자 hyeokjun@yeongnam.com

강승규 기자

기사 전체보기

영남일보(www.yeongnam.com), 무단전재 및 수집, 재배포금지