팩트체크 : 성경통독어플, 차단에서 회복까지 그 진실은?

구글플레이에 등록되어 있는 성경통독을 비롯 갓피플의 모든 앱은 안전합니다.

28
81
9,388

최근 언론에 보도 되었던, 성경통독 앱 보안 관련하여 갓피플에서 올린 2차공지 이미지입니다.

2017년 11월 28일 16시 현재 성경통독 앱과 갓피플의 모든 앱은 안전하다고 공식 발표가 되었습니다. 이제 구글 플레이에서 ‘성경통독‘ 또는 ‘갓피플‘ 검색 후 다운받아 다시 이용하면 됩니다.

그런데 지난주 인터넷에 이런 기사들이 올라왔습니다.
북한 라자루스 그룹의 진화, 모바일로까지 진출 ○○뉴스, 성경통독 앱에 악성코드 좀비폰 된다 ○○뉴스, 성경앱 가장한 악성코드 한국 이용자 노렸다 ○○○ 경제 

북한 해커 그룹의개입? 성경통독 앱을 설치하면 좀비폰이 된다? 이러한 기사는 어떻게 이해해야 할까요? 이에 대해 적어보았습니다.

왜 이런 기사들이 나왔나?


사건의 시작 

2017년 11월 20일 글로벌보안업체인 Mcafee에 2개의 글이 등록되었습니다.

Android Malware Appears Linked to Lazarus Cybercrime Group

위 글은 McAfee Mobile Research 팀이 Android 악성 코드를 조사 중에 APK파일을 불법으로 유통하는 곳(블랙마켓)에서 리 패키징(악성코드가 포함)된 성경통독 APK 파일을 발견하였고 그에 대한 코드 분석 내용을 올린 것입니다. 분석 내용중 Lazarus Malware와 유사점을 언급했습니다.

Lazarus Cybercrime Group Moves to Mobile Platform

위 글에선 Lazarus Malware 의 유사성을 근거로, 북한 해커 그룹이라고 추청되는 Lazarus Cybercrime Group 이 북한 지하 교회 컨텐츠와 관련이 있는 갓피플을 타겟으로 공격하는 것 같다는 내용을 올렸습니다.  

 

같은 11월 20일  paloalto networks 에도 악성코드 분석 글 이 올라왔습니다

Operation Blockbuster Goes Mobile

위 글에는 악성코드가 포함된 성경통독APK 를 분석한 내용이 포함되어 있습니다.

문제는 위 3개의 글을 미디어들이 인용하는 과정에서 과장 기사가 발표 된 것입니다. 

 


팩트체크

구글플레이에 등록되어 있는 성경통독을 비롯 갓피플의 모든 앱은 안전합니다.

악성코드가 포함된 성경통독APK는 블랙마켓 등 불법으로 어플이 유통되는 곳에서 다운받은 파일에만 포함되어 있는 것입니다. 블랙마켓은 악성코드를 심어 APK를 불법으로 유통하는 경우가 많습니다.

> 위  Mcafee 글 작성자에게 갓피플이 질의를 보냈고 아래와 같은 답변을 받았습니다

답변: 연락 주셔서 감사드립니다. 네, 현재 한국 매체에서 번역 오류와 Paloalto Network이라는 회사에서 배포된 기술문서 때문에(현재는 수정됨) 오해의 소지가 있어 보입니다. 제 글을 통해 확인 하신 것과 같이 GooglePlay에 등록된 버전은 전혀 문제가 없음을 알려드립니다.

제가 분석한 악성코드는 “갓피플 성경통독” 앱을 re-package한 것으로 보여집니다. 이 방법은 정상 APK를 다운로드 받은 후 decompile 및 변조를 통해 가능합니다. 추가로 이번에 발견된 악성 APK(repackaged)의 서명에 사용된 인증서 또한(certificate) 정상 갓피플 성경통독에 사용된 것과 다르므로 개발자의 시스템 감염을 통해 진행되었을 가능성은 낮아보입니다.

> 전문보안업체인 NSHC에 분석 요청 후 받은 답변 입니다.

NSHC에서 입수한 샘플을 분석해본 결과 악성코드 앱은 서드파티 또는 알 수 없는 경로로 앱이 유포되었고, 구글 플레이스토어에는 업로드 되지 않았으며 정상앱과 악성코드 앱의 사이닝 키값이 다릅니다.

 



그럼 왜 갓피플은 성경통독 어플 삭제 공지를 올리고
왜 구글은 성경통독 어플을 차단 하였나?

mcafee가 악성코드를 분석한 글의 결론에서

We do not know if this is Lazarus’ first activity on a mobile platform. But based on the code similarities we can say it with high confidence that the Lazarus Group is now operating in the mobile world.

이번 사례가 모바일에서 Lazarus Group의 첫번째 활동인지 정확히 알 순 없지만, 모바일에서 활동하고 있다는 것은 확신할 수 있다 라고 했습니다.

그럴리는 없겠지만, 우리가 아직 인지하지 못한 경우로 인해 악성코드 감염이 되고, 0.1%라도 좀비폰이 되어 또 다른 문제가 발생하도록 둘 순 없었기에 기존 어플 삭제 라는 특단의 선조치를 하고 이후 조사를 진행하게 된 것입니다.

이제 여러 경로로 검사한 결과 구글 플레이를 통한 성경통독 어플과 갓피플 어플에 문제가 없음을 확인했습니다. 그래서 구글과 함께 다시 갓피플 어플 배포를 시작하게 된 것입니다.

갓피플 안드로이드 어플 다운받기>

 

해커 단체가 블랙마켓을 통해 성경통독APK를 변조해서 유포하려 했습니다.

Mcafee는 악성코드의 유사성으로 볼때 Lazarus Group (북한 해커 단체라고 추청되는) 이라고 의심하고 있습니다. 그 단체가 갓피플 성경통독 APK 파일에 악성코드를 심고 블랙마켓을 통해 유포하려고 했습니다.

갓피플은 크리스천들에게 컨텐츠를 제공하며 신앙생활에 도움을 주는 곳입니다. 우리의 삶에 늘 영적전쟁이 있듯이, 지금 모바일 영역에도 영적전쟁이 일어나고 있습니다.

앞으로 더 많은 분들에게 하나님의 말씀을 전할 수 있도록, 갓피플이 이 사역을 끝까지 잘 감당할 수 있도록 응원과 기도로 함께 해주시길 부탁드립니다.

혹시 주변에 이번 어플 관련해서 헷갈려하시는 분이 계시면 구글 플레이에서 다운 받은 갓피플의 모든 어플은 문제없이 안전하다고 이야기 해주시고, 이 글을 공유해주길 바랍니다.

언제나 갓피플을 지지해주시고 함께해주시는 모든 갓피플 회원 여러분들께 인사를 드립니다.  감사합니다.

 

우리가 알거니와
하나님을 사랑하는 자
곧 그의 뜻대로 부르심을 입은 자들에게는
모든 것이 합력하여 선을 이루느니라
로마서8:28