최근 언론에 보도 되었던, 성경통독 앱 보안 관련하여 갓피플에서 올린 2차공지 이미지입니다.
2017년 11월 28일 16시 현재 성경통독 앱과 갓피플의 모든 앱은 안전하다고 공식 발표가 되었습니다. 이제 구글 플레이에서 '성경통독' 또는 '갓피플' 검색 후 다운받아 다시 이용하면 됩니다.
그런데 지난주 인터넷에 이런 기사들이 올라왔습니다.
북한 라자루스 그룹의 진화, 모바일로까지 진출 ○○뉴스, 성경통독 앱에 악성코드 좀비폰 된다 ○○뉴스, 성경앱 가장한 악성코드 한국 이용자 노렸다 ○○○ 경제
북한 해커 그룹의개입? 성경통독 앱을 설치하면 좀비폰이 된다? 이러한 기사는 어떻게 이해해야 할까요? 이에 대해 적어보았습니다.
왜 이런 기사들이 나왔나?
사건의 시작
2017년 11월 20일 글로벌보안업체인 Mcafee에 2개의 글이 등록되었습니다.
Android Malware Appears Linked to Lazarus Cybercrime Group 위 글은 McAfee Mobile Research 팀이 Android 악성 코드를 조사 중에 APK파일을 불법으로 유통하는 곳(블랙마켓)에서 리 패키징(악성코드가 포함)된 성경통독 APK 파일을 발견하였고 그에 대한 코드 분석 내용을 올린 것입니다. 분석 내용중 Lazarus Malware와 유사점을 언급했습니다. |
Lazarus Cybercrime Group Moves to Mobile Platform 위 글에선 Lazarus Malware 의 유사성을 근거로, 북한 해커 그룹이라고 추청되는 Lazarus Cybercrime Group 이 북한 지하 교회 컨텐츠와 관련이 있는 갓피플을 타겟으로 공격하는 것 같다는 내용을 올렸습니다. |
같은 11월 20일 paloalto networks 에도 악성코드 분석 글 이 올라왔습니다
Operation Blockbuster Goes Mobile 위 글에는 악성코드가 포함된 성경통독APK 를 분석한 내용이 포함되어 있습니다. |
문제는 위 3개의 글을 미디어들이 인용하는 과정에서 과장 기사가 발표 된 것입니다.
팩트체크
구글플레이에 등록되어 있는 성경통독을 비롯 갓피플의 모든 앱은 안전합니다.
악성코드가 포함된 성경통독APK는 블랙마켓 등 불법으로 어플이 유통되는 곳에서 다운받은 파일에만 포함되어 있는 것입니다. 블랙마켓은 악성코드를 심어 APK를 불법으로 유통하는 경우가 많습니다.
> 위 Mcafee 글 작성자에게 갓피플이 질의를 보냈고 아래와 같은 답변을 받았습니다 답변: 연락 주셔서 감사드립니다. 네, 현재 한국 매체에서 번역 오류와 Paloalto Network이라는 회사에서 배포된 기술문서 때문에(현재는 수정됨) 오해의 소지가 있어 보입니다. 제 글을 통해 확인 하신 것과 같이 GooglePlay에 등록된 버전은 전혀 문제가 없음을 알려드립니다. 제가 분석한 악성코드는 “갓피플 성경통독” 앱을 re-package한 것으로 보여집니다. 이 방법은 정상 APK를 다운로드 받은 후 decompile 및 변조를 통해 가능합니다. 추가로 이번에 발견된 악성 APK(repackaged)의 서명에 사용된 인증서 또한(certificate) 정상 갓피플 성경통독에 사용된 것과 다르므로 개발자의 시스템 감염을 통해 진행되었을 가능성은 낮아보입니다. > 전문보안업체인 NSHC에 분석 요청 후 받은 답변 입니다. NSHC에서 입수한 샘플을 분석해본 결과 악성코드 앱은 서드파티 또는 알 수 없는 경로로 앱이 유포되었고, 구글 플레이스토어에는 업로드 되지 않았으며 정상앱과 악성코드 앱의 사이닝 키값이 다릅니다. |
그럼 왜 갓피플은 성경통독 어플 삭제 공지를 올리고
왜 구글은 성경통독 어플을 차단 하였나?
mcafee가 악성코드를 분석한 글의 결론에서
We do not know if this is Lazarus’ first activity on a mobile platform. But based on the code similarities we can say it with high confidence that the Lazarus Group is now operating in the mobile world. |
이번 사례가 모바일에서 Lazarus Group의 첫번째 활동인지 정확히 알 순 없지만, 모바일에서 활동하고 있다는 것은 확신할 수 있다 라고 했습니다.
그럴리는 없겠지만, 우리가 아직 인지하지 못한 경우로 인해 악성코드 감염이 되고, 0.1%라도 좀비폰이 되어 또 다른 문제가 발생하도록 둘 순 없었기에 기존 어플 삭제 라는 특단의 선조치를 하고 이후 조사를 진행하게 된 것입니다.
이제 여러 경로로 검사한 결과 구글 플레이를 통한 성경통독 어플과 갓피플 어플에 문제가 없음을 확인했습니다. 그래서 구글과 함께 다시 갓피플 어플 배포를 시작하게 된 것입니다.
해커 단체가 블랙마켓을 통해 성경통독APK를 변조해서 유포하려 했습니다.
Mcafee는 악성코드의 유사성으로 볼때 Lazarus Group (북한 해커 단체라고 추청되는) 이라고 의심하고 있습니다. 그 단체가 갓피플 성경통독 APK 파일에 악성코드를 심고 블랙마켓을 통해 유포하려고 했습니다.
갓피플은 크리스천들에게 컨텐츠를 제공하며 신앙생활에 도움을 주는 곳입니다. 우리의 삶에 늘 영적전쟁이 있듯이, 지금 모바일 영역에도 영적전쟁이 일어나고 있습니다.
앞으로 더 많은 분들에게 하나님의 말씀을 전할 수 있도록, 갓피플이 이 사역을 끝까지 잘 감당할 수 있도록 응원과 기도로 함께 해주시길 부탁드립니다.
혹시 주변에 이번 어플 관련해서 헷갈려하시는 분이 계시면 구글 플레이에서 다운 받은 갓피플의 모든 어플은 문제없이 안전하다고 이야기 해주시고, 이 글을 공유해주길 바랍니다.
언제나 갓피플을 지지해주시고 함께해주시는 모든 갓피플 회원 여러분들께 인사를 드립니다. 감사합니다.
우리가 알거니와
하나님을 사랑하는 자
곧 그의 뜻대로 부르심을 입은 자들에게는
모든 것이 합력하여 선을 이루느니라
로마서8:28