[위클리오늘=김성한 기자] 국내 시내버스 앱에서 해킹시도가 발생했다. 사용자가 모바일에 해킹당한 앱을 설치하면 추가로 ‘페이로드’가 다운돼 휴대폰이 장악된다.

4일 맥아피 블로그에 따르면 국내 개발자가 2013년과 2017년 구글 플레이 스토어에 올린 전주·광주·대구·창원버스 앱 4개가 해킹당했다.

해커는 사용자가 구글 계정 비밀번호를 입력하도록 유도하고, 스마트폰을 장악하려고 시도했다. 

장악한 스마트폰에선 카카오톡 사찰 및 사용자 개인정보(다운로드 기록, 로그인 및 패스워드 등)를 확인하고 변경할 수 있다.

개발자는 “지난해 8월 (자신의) 구글 아이디를 해킹한 누군가가 몰래 악성 플러그인이 포함된 특정 버전 설치 파일을 올린 것으로 보인다”고 밝혔다.

감염된 모바일에서 사용자가 카카오톡 중 '군사·안보' 분야 특정 단어를 입력하면 관련 파일이 별도 서버에 업로드된다.

해당 키워드는 '북한', '국방', '국정원', '청와대', '문재인', '작계', '대장', '전차', '군단', '기무사', '국회', '통일부' 등이다.

이에 일각에서는 북한 소행설이 제기되고 있으며 지난달에도 이 같은 해킹 시도가 일어났던 것으로 알려졌다. 

통일부 출입 기자단에 악성코드가 담긴 메일이 배포되고, 설 선물로 위장한 사이버 공격 포착이 있었다.

맥아피는 “이 악성코드는 표적화된 공격으로 피해자 장치를 검색해 군사·정치 관련 파일을 찾아 기밀을 유출하려 한 것으로 보인다”며 “사용자는 완전히 신뢰할 수 있는 애플리케이션을 설치해야 한다”고 밝혔다.

한편, 국내 원격측정 자료에 따르면 감염된 장치의 수가 적었기 때문에 최종 페이로드가 소수의 대상 그룹에만 설치됐다.

현재 해당 앱은 삭제됐고, 업그레이드된 애플리케이션을 설치하면 된다.