게임을 다운로드합니다. 별다른 의심 없이 설치까지 완료됩니다. 그런데 그 후? 당신의 사적인 일상이 조각조각 새어 나가기 시작합니다. 이제 이것은 더 이상 공상 과학 소설이 아닙니다. 북한 해커 집단 APT37, 일명 스크래프트(ScarCruft)의 최신 수법입니다. 이들은 기존 윈도우용 백도어 악성코드 ‘버드콜’을 안드로이드 환경에 맞춰 개조해, 평범한 게임 플랫폼을 통해 기기 깊숙이 침투하고 있습니다.
정말 대담하다는 말밖에 안 나옵니다. 물론 공급망 공격 자체는 낯설지 않지만, 이번 건은 특히 악의적입니다. 수많은 사람들이, 특히 특정 지역에서는 오락이나 간단한 다운로드를 위해 게임을 찾곤 하죠. 바로 이 점을 노렸다는 것이죠.
단순한 모바일 트로이목마인가?
이들의 행적을 끈질기게 추적해 온 ESET 연구진에 따르면, 스크래프트는 작년 10월경 이 안드로이드 버전을 처음 개발했으며, 벌써 7가지 이상의 변종을 만들어냈다고 합니다. 배포 경로는 중국 웹사이트 sqgame[.]net입니다. 이 플랫폼은 안드로이드, iOS, 윈도우용 게임을 모두 제공하지만, 핵심은 스크래프트의 악성 페이로드는 안드로이드와 윈도우 버전만 노린다는 것입니다. 더 놀라운 것은, 이 사이트가 중국 옌볜 지역의 한국인들을 대상으로 한다는 점입니다. 이곳은 역사적으로 북한 탈북민들의 이동 경로로 알려진 곳이죠. 우연일까요? 저는 그렇게 생각하지 않습니다.
버드콜의 윈도우 버전은 2021년부터 존재해 왔으며, 키로깅, 스크린샷 캡처, 파일 탈취 등 온갖 악행을 저질러 왔습니다. 그런데 이번 안드로이드 변종은? 침해 수준이 완전히 달라졌습니다. 단순한 감시를 넘어선, 공격적인 데이터 수집입니다.
IP 기반 위치 정보, 연락처, 통화 기록, SMS 메시지를 긁어모읍니다. 기기의 OS, 커널, 루팅 여부(더 정교한 해킹의 위험 신호), IMEI, MAC 주소, IP 주소, 네트워크 정보까지 파악합니다. 배터리 온도, RAM, 저장 공간, 심지어 사용 중인 파일 확장자(.jpg, .doc, .pdf, .p12 등)까지 샅샅이 뒤집니다. 민감하거나 추가적인 공격에 활용될 수 있는 모든 정보를 말이죠.
가장 충격적인 사실은 무엇일까요? 바로 매일 밤 7시부터 10시까지, 해당 지역 시간을 기준으로 마이크를 통해 오디오를 녹음하도록 설정되어 있다는 점입니다. 그리고 기기에서 삭제되지 않기 위해, 조용히 MP3 파일을 반복 재생하며 자신의 프로세스를 숨기고 탐지를 피합니다. 정말 끔찍하군요.
아직은 없는 것들 (일단은)
섣불리 휴대폰을 버리기 전에 알아두어야 할 점은, 이 안드로이드 버전이 윈도우 형제들만큼 ‘무시무시한’ 기능을 모두 갖추고 있지는 않다는 것입니다. 현재로서는 쉘 명령어 실행, 트래픽 프록싱, 브라우저 및 메신저 앱 데이터 탈취, 파일 삭제, 프로세스 강제 종료 등의 기능이 빠져 있습니다. 스크래프트는 아마도 이 악성코드를 계속해서 발전시키며 버전을 거듭할 때마다 새로운 기능을 추가할 것입니다. 이들은 결코 게으른 해커들이 아니죠. 에어갭 시스템용 THUMBSBD, 한때 구글 플레이에 올라오기도 했던 KoSpy, M2RAT, 그리고 Dolphin 모바일 백도어까지. 그들은 이미 다양한 무기고를 갖추고 있습니다.
따라서 안드로이드용 버드콜이 오늘날 윈도우 버전에 비해 약간 덜 강력해 보일 수는 있지만, 여전히 상당한 위협입니다. 이는 국가 지원을 받는 집단이 적극적으로 개발하고 배포하는, 잘 알려진 백도어입니다.
그렇다면, 누가 실제로 이득을 보는가?
여기서 제 까칠한 베테랑 기자 정신이 발동합니다. 이 복잡한 계획으로 누가 돈을 벌까요? 북한의 명백한 전략적 정보 획득 외에, sqgame[.]net이라는 플랫폼 자체를 생각해 봅시다. 공범일까요? 아니면 해킹당한 것일까요? 아니면 단순히 보안이 허술한 희생자일 뿐일까요? 어느 쪽이든, 이곳은 악성코드 유포 경로로 이용되고 있습니다. 스크래프트와 APT37에게 ‘돈’은 반드시 현금만을 의미하지 않습니다. 그것은 정보, 활용, 그리고 첩보 활동을 위한 지속적인 거점을 유지하는 것입니다. 이들은 다크웹에서 악성코드를 판매하는 것이 아니라, 국가 지원 목적을 위해 사용하고 있습니다. 이런 맞춤형 도구를 개발하고 유지하는 데 드는 비용은 상당하지만, 탈북민, 지역 활동, 또는 그들이 중요하다고 판단하는 기타 정보에 대한 첩보를 원하는 정부에게는 그 보상이 훨씬 클 것입니다. 여기서 진정한 피해자는 자신의 데이터와 개인 정보를 이 플랫폼에 맡기는 사용자들입니다.
늘 그래왔듯이, 그리고 조언
조언은 언제나처럼, 슬프게도 단순합니다. 소프트웨어는 반드시 공식 앱 스토어에서, 그리고 당신이 절대적으로, 의심의 여지 없이 신뢰하는 게시자로부터만 다운로드하십시오. 이 디지털 야생에서, 이것이 점점 더 정교해지고, 솔직히 무서워지는 위협으로부터 우리를 보호하는 유일한 방어선일 것입니다.
🧬 관련 인사이트
- 더 읽어보기: 2026년 위협 환경: 방어자보다 빠른 공격자들
- 더 읽어보기: 모바일 앱 권한: 여전히 당신의 마지막 방어선 [5가지 위험 신호]
자주 묻는 질문
‘버드콜 악성코드’란 무엇인가요? 버드콜은 주로 북한 해킹 그룹 APT37(스크래프트)과 관련된 백도어 악성코드 계열입니다. 파일 탈취, 키로깅, 스크린샷 촬영이 가능한 윈도우 변종도 있지만, 최근에는 개인 및 기기 데이터를 광범위하게 수집하는 스파이웨어 역할을 하는 새로운 안드로이드 버전이 등장했습니다.
안드로이드에서 버드콜 악성코드는 어떻게 전달되나요? 스크래프트 그룹은 sqgame[.]net과 같은 게임 다운로드 웹사이트에서 발견되는 APK 파일을 트로이 목마화하여 안드로이드 버전을 배포하고 있습니다. 사용자는 합법적인 게임이라고 생각하고 다운로드하지만, 실제로는 악성 백도어가 포함되어 있습니다.
안드로이드 버드콜 변종은 어떤 종류의 데이터를 수집하나요? 안드로이드 변종은 IP 기반 위치 정보, 연락처 목록, 통화 기록, SMS 메시지, 그리고 상세한 기기 정보(IMEI, MAC 주소 등)를 추출할 수 있습니다. 또한 배터리 상태, 저장 공간을 모니터링하며, 특정 저녁 시간에 주기적으로 스크린샷을 찍고 오디오를 녹음합니다.
