‘데블에인절’ ID 역추적 결과
무료 영화 등 악성코드 앱페이지
대부분 폐쇄되거나 게시물 사라져
무료 영화 등 악성코드 앱페이지
대부분 폐쇄되거나 게시물 사라져
스파이웨어(컴퓨터나 스마트폰에 몰래 설치돼 정보를 빼내가는 악성 프로그램) 감염을 유도하기 위해 국가정보원 직원으로 추정되는 인물들이 인터넷 공간에 올려두었던 악성 애플리케이션 관련 페이지가 최근 들어 대부분 삭제된 것으로 나타났다.
20일 <한겨레>가 이탈리아 ‘해킹팀’에 직접 ‘공격 인터넷 주소(url)’를 요청했던 국정원 직원의 ‘아이디’를 역추적하는 방법으로 해당 페이지를 확인했더니, 블로그에 올렸던 관련 게시물이 지금은 존재하지 않은 것으로 확인됐다.
‘해킹팀’과 직접 소통을 담당한 국정원 직원은 ‘데블에인절’(devilangel1004@gmail.com·데빌엔젤)이란 아이디를 사용했다. 이 구글 지메일 주소는 블로그, 구글 플러스 등 구글의 다른 서비스와 연결돼 있다. 데블에인절(데빌엔젤)의 전자우편 계정에 연동된 블로그에는 구글의 정식 마켓인 ‘플레이스토어’를 통하지 않고 제3의 마켓을 통해 유통되는 안드로이드 스마트폰용 애플리케이션들이 첨부되어 있다. 대표적인 게 ‘오늘의 티브이’, ‘영화천국’, ‘일드의 정원’, ‘애니빵빵’ 등으로 데블에인절은 이곳을 통해 스파이웨어가 숨겨진 악성 애플리케이션을 내려받도록 유도했다. 또 데블에인절(데빌엔젤)은 구글 플러스를 통해 같은 애플리케이션을 올려둔 ‘mingmings2015’란 아이디의 워드프레스(wordpress.com) 블로그도 공유했다.
최근 들어 관련 페이지가 삭제된 경위에 대해 구글 관계자는 “해당 게시물은 본인이 지웠거나 문제가 있어 시스템에서 차단된 것”이라고 밝혔다.
김광진 새정치민주연합 의원은 17일 이 애플리케이션들을 분석한 뒤 “이 앱에는 현재위치 추적, 오디오 녹음, 카메라 촬영, 데이터 등을 특정한 주소로 송신할 수 있는 스파이웨어가 숨어 있었다”고 밝혔다. 안드로이드 운영체제를 사용하는 스마트폰을 통해 이 애플리케이션을 내려받을 경우 실시간 녹음 기능과 카메라 등을 이용해 사용자 정보가 특정 서버로 전송된다.
이런 악성 애플리케이션들은 데블에인절(데빌엔젤)의 구글 블로그, ‘mingmings2015’의 블로그 등을 통해 국내에 빠른 속도로 전파됐다.
임지선 기자 sun21@hani.co.kr
항상 시민과 함께하겠습니다. 한겨레 구독신청 하기