이란 사이버 첩보조직 '머디워터', 안드로이드 감시툴 DCHSpy 변종 확산

이란 정부와 연계된 사이버 첩보 조직인 머디워터(MuddyWater)가 안드로이드 스파이웨어 'DCHSpy'의 새로운 변종을 중동 지역 내 갈등 상황을 배경으로 본격 확산시키고 있는 정황이 드러났다. 보안업체 룩아웃(Lookout)에 따르면, 최근 이스라엘이 이란의 핵 시설을 공습한 직후 해당 스파이웨어가 강화된 기능을 갖추고 다시 등장했다.

처음 2024년 발견된 DCHSpy는 와츠앱 메시지, 위치, 통화기록, 사진, 마이크 녹음 등 스마트폰 내 민감한 정보를 수집하는 고도화된 감시 툴이다. 이번에 룩아웃이 포착한 네 가지 변종은 기존 기능에 더해 파일 탈취 기능이 강화됐으며, 새로운 위장 앱 형태로 배포됐다. 'Earth VPN', 'Comodo VPN' 등의 이름으로 위장한 해당 앱들은 주로 텔레그램을 통해 퍼지고 있으며, 정부 검열을 우회하고자 하는 이란 일반 시민이나 반체제 인사들을 노리고 있다. 일부 변종에서는 위성인터넷 기업 '스타링크'와 관련된 이름을 사용하는 등, 전략적으로 사용자 신뢰를 유도한 흔적도 확인됐다.

보고서에 따르면, DCHSpy는 과거 바하이교도 감시용으로 활용된 안드로이드 감시 소프트웨어 '샌드스트라이크(SandStrike)'와 유사한 명령제어(C2) 서버 및 배포 채널을 공유함으로써, 이란발 조직적 스파이 활동의 연속성을 보여준다고 강조한다. 또한 해당 악성코드는 모듈 구조로 설계돼 있으며 C2 명령에 따라 암호화 설정을 부여받고, 이후 탈취 데이터를 안전한 FTP 주소로 전송하는 특징을 갖는다.

머디워터는 2019년 이후 활동을 본격화한 이란 국가 정보부 산하 조직으로, 이미 2022년 미국과 영국 정부로부터 사이버 공격 경고 대상에 올랐던 전력이 있다. 당시 아시아, 아프리카, 유럽, 북미 전역의 민관 기관들을 상대로 정교한 첩보 활동을 벌인 바 있다. 이후 2025년 현재까지 이 조직은 방위, 통신, 에너지 등 핵심 산업과 반정부 인사들을 겨냥해 글로벌 감시 네트워크를 확대해오고 있다.

룩아웃 측은 이번 발견이 이란발 모바일 감시 체계가 단순한 재활용 수준을 넘어서, 전용 맞춤형 악성코드 프레임워크로 진화하고 있음을 시사한다고 밝혔다. 실제로 이 회사는 현재까지 최소 10개 이상의 이란발 APT(지능형 지속 위협) 그룹과 연계된 17종의 모바일 악성코드를 추적 중이다.

보고서를 공동 작성한 알렘다르 이슬라모글루와 저스틴 알브레히트 연구원은 “머디워터의 활동을 계속 주시하고 고객들에게 최신 위험정보를 신속히 공유하겠다”고 밝혔다.