북한 APT37(ScarCruft)의 안드로이드 스파이웨어 배포

최근 보안 업체 룩아웃(Lookout)에 따르면, 북한과 연계된 해킹 그룹 APT37(ScarCruft)이 KoSpy라는 안드로이드용 스파이웨어를 구글 플레이를 통해 유포한 정황이 포착되었습니다. 이 그룹은 2012년경부터 활동을 시작했으며, 한국을 비롯해 중국, 인도, 일본, 쿠웨이트, 네팔, 루마니아, 러시아, 베트남 등 여러 국가를 대상으로 공격해온 것으로 알려져 있습니다.

1. 스파이웨어 KoSpy의 특징

• 배포 시점
  KoSpy는 2022년 3월부터 활동이 포착되었으며, 한국어/영어 사용자를 집중적으로 노린 것으로 보입니다.
• 위장 앱 종류
  KoSpy는 휴대전화 또는 파일 관리 앱, 스마트 매니저, 소프트웨어 업데이트 유틸리티, 가짜 보안 앱 등 총 다섯 가지 앱으로 위장해 사용자를 속였습니다.
• 구글 플레이 및 Firebase 이용
  KoSpy는 일부 앱을 구글 플레이에 등록해 사용자들이 정상 앱으로 믿고 다운로드하도록 유도했습니다. 설치 후에는 Firebase Firestore에서 스파이웨어 활성화 설정, C&C(명령제어) 서버 주소 등을 받아오는 방식으로 동작했습니다.
• 보안 우회 기법
  • 에뮬레이터(분석 환경) 체크
  • 특정 날짜(하드코딩된 활성화일) 이후에만 악성 기능 수행
  • Firebase 기반으로 원격 설정 변경 가능
• 수집 정보 및 기능
  • SMS 메시지, 통화 기록, 위치 정보 탈취
  • 스크린샷 캡처 및 오디오·사진·파일·폴더 접근
  • 키로깅(키보드 입력 내용 기록)
  • Wi-Fi 네트워크 정보, 설치된 앱 목록 확보
  • 수집된 데이터는 암호화되어 C&C 서버로 전송

2. 공격 그룹 및 관련성

• APT37(ScarCruft)
  KoSpy는 ScarCruft로 알려진 북한 연계 APT37에 의해 사용된 것으로 추정됩니다. 룩아웃은 일부 정황상 APT43(Kimsuky/Thallium) 그룹 또한 KoSpy를 활용한 정황이 있다고 보고 있습니다.
• 주요 타깃
  앱에 한국어 인터페이스와 영어 인터페이스가 혼합되어 있는 것으로 미뤄, 한국 및 영어권 사용자를 겨냥한 공격임을 알 수 있습니다.

3. 구글의 조치

• 룩아웃의 발표 이후, KoSpy 관련 앱들은 모두 구글 플레이에서 제거되었으며, Firebase 프로젝트 또한 차단된 상태입니다.
• 구글 측은 “새로운 버전의 KoSpy가 발견되어도, 안드로이드 기기에서 구글 플레이 프로텍트를 통해 자동으로 탐지·차단이 이루어지도록 조치했다”라고 밝혔습니다.
• 또한, 일부 앱은 서드파티 앱스토어인 Apkpure에서도 발견되었으나, 현재는 모두 삭제된 것으로 전해졌습니다.

4. 공급망 보안 시사점

1. 공식 앱 마켓도 완전 무결하지 않다
   구글 플레이처럼 상대적으로 신뢰도가 높은 플랫폼도 사이버 범죄자들의 허점을 노린 위장 앱 등록 사례가 발생합니다. 앱 다운로드 전, 앱 평점 및 리뷰, 개발자 정보 등을 꼼꼼히 확인할 필요가 있습니다.
2. Firebase 등 클라우드 서비스 악용 가능성
   KoSpy가 Firebase Firestore를 이용해 C&C 설정을 수시로 변경한 것처럼, 다양한 클라우드 서비스가 공격자에게 악용될 수 있습니다. 기업/기관 차원에서도 정기적인 모니터링과 보안 정책이 필요합니다.
3. 모바일 디바이스 보안 체계 점검
   KoSpy는 위치 정보, 통화기록, 파일 시스템 등 스마트폰의 핵심 데이터에 무단 접근이 가능했습니다. 모바일 디바이스 관리(MDM) 솔루션 도입, 모바일 위협 탐지(MTD) 솔루션 구축 등을 통해 내부 정보 자산을 보호하는 방안을 검토해야 합니다.
4. 정기 업데이트 및 최신 OS 유지
   모바일 기기의 운영체제 및 앱을 최신 버전으로 유지하고, 구글 플레이 프로텍트 등 보안 기능을 활성화하면 상당 부분 피해를 줄일 수 있습니다.