광고 없는 유튜브 앱 ‘SmartTube’ 보안 사고 발생, 사용자 주의 필요
안드로이드 스마트 TV와 셋톱박스에서 광고 없이 유튜브 영상을 시청할 수 있는 SmartTube 앱의 서명키 정보가 유출되는 사고가 발생했다.
이번 사고는 여러 사용자가 Play Protect 경고 메시지를 받으며 앱이 차단되는 과정에서 확인되었다.
그림 1. 사용자 신고
개발자는 자신의 서명키가 유출되었고, 기존 앱에 악성 행위를 수행하는 라이브러리가 포함되었다는 사실을 인정했다.
그림 2. 개발자 공지
사용자 분석 결과, 버전 30.51의 SmartTube 앱에는 libalphasdk.so라는 불분명한 라이브러리가 포함되어 있었으며, 이는 공개된 소스 코드에는 존재하지 않고 릴리즈 빌드 시 추가된 것으로 추정된다.
해당 라이브러리의 경우 사용자 동의없이 백그라운드에서 실행되며, 암호화된 통신 채널을 통해 주기적으로 데이터를 수집하고 전송한다. 현재까지는 DDos 봇넷과 같은 악의적 활동은 발견되지 않았지만, 향후에 이러한 기능이 실행될 수 있다는 위험이 존재한다.
그림 3. Virustotal 내 SmartTube 30.43 버전 탐지
자사에서는 해당 악성 라이브러리가 30.27 버전부터 포함된 것으로 확인되었고, GitHub 태그 이력을 통해 약 한 달 전부터 문제가 발생한 것으로 추정하고 있다.
그림 4. SmartTube 30.27 버전
그림 5. APK 내 악성 라이브러리 포함
그림 6. 프로젝트 태그 이력 정보
개발자는 문제를 인지한 후 기존 서명키를 중지하고 새로운 서명을 생성하고, 앱 식별자(패키지 이름)를 변경했다. 이후 텔레그램을 통해 변경 사실을 알리고, 금일(2025.12.02) 오전에 변경 사항이 적용된 앱을 업로드했다고 발표했다.
그림 7. 새로운 서명으로 생성한 APK
SmartTube는 공식 스토어에서 배포되는 앱이 아니기 때문에 일반 사용자가 설치 과정에서 어려움을 겪을 수 있다. 실제로 구글에서 “스마트튜브 설치”를 검색하면 최근까지 설치 방법을 안내하는 게시물이 다수 올라온 것을 확인할 수 있다.
그림 8. SmartTube 설치 가이드
유출된 서명으로 배포된 앱은 일반 사용자가 구분하기 어렵기 때문에, 기존에 설치된 앱을 삭제하고 새로운 버전을 설치할 것을 권장한다.
