#1. 김도수 씨(36)는 웹서핑을 하다가 한 블로그에서 ‘슈퍼마리오3’ 앱(응용프로그램)을 내려받았다. 그러나 이 앱은 유심(USIM) 카드 정보, 주소록 등 개인정보를 빼내 중국에 있는 해커의 서버로 전송하는 악성 앱이었다.

#2. 게임·라이프스타일 등 다양한 카테고리의 앱을 활발히 내려받아 쓰는 박정민 씨(29). 그는 요즘 스마트폰에 시도 때도 없이 뜨는 ‘광고’ 때문에 신경이 날카롭다. 업무 중에도 광고가 푸시 알림으로 뜨지만 어느 앱 때문인지 알 수 없어 결국 대부분의 앱을 지우는 번거로움을 감수해야 했다.

◆급증하는 악성 앱

스마트폰 등 모바일 기기를 노린 악성코드가 가파르게 늘고 있다. 글로벌 보안업체 트렌드마이크로는 최근 ‘2분기 정보보호 동향’ 보고서에서 안드로이드 운영체제(OS)를 쓰는 스마트폰의 악성 코드가 2만5000개를 넘어섰다고 밝혔다. 당초 예상한 1만1000개를 훨씬 웃도는 수치다. 이들 악성코드는 안드로이드 앱 형태로 유포돼 스마트폰은 물론 PC 사용환경까지 위협한다. 지난해 4분기 1000개 수준이던 악성 앱은 1분기에만 5000개가 새로 발견됐다. 특히 4월 한 달에만 1만개가 등장하는 등 2분기에 1만9000개가 추가로 발견됐다. 트렌드마이크로는 연말까지 악성 앱이 12만9000개로 불어날 것으로 내다봤다.

악성 앱은 상업광고를 뜨게 하거나 개인정보를 유출하고 사용자 승인 없이 유료서비스를 이용하도록 만든다. 통화기록 등 스마트폰 사용을 감시하는 앱도 있다.

◆안드로이드용 앱이 대부분

악성코드가 심어진 앱은 주로 안드로이드용이다. 트렌드마이크로의 보고서가 안드로이드 악성 앱만을 대상으로 한 것도 이 같은 이유에서다. 구글플레이 등 공식마켓보다 서드파티(비공식마켓)에서 악성 앱이 발견될 확률이 높다. 서드파티에는 소셜네트워크서비스(SNS)인 ‘인스타그램’과 ‘구글플러스’, 아케이드 게임 ‘템플런’ 등 유명 앱으로 가장한 악성 앱이 많이 올라온다. 런던올림픽 관련 앱으로 위장한 악성코드가 등장하기도 했다. 최근에는 공식마켓에서도 악성 앱이 나타나기 시작하는 추세다. 구글플레이에 등록된 17개 악성 앱은 삭제되기 전에 70만번의 다운로드가 이뤄지기도 했다.

애플은 앱스토어에 올라가는 앱을 일일이 검사하기 때문에 상대적으로 악성 앱이 나타나기 어렵다. 하지만 ‘탈옥(내장된 운영체제를 변경하는 것)’한 아이폰이나 아이패드는 새로운 취약점이 생겨 위험에 노출되기 쉽다. 최근 탈옥한 아이폰을 대상으로 키 입력을 가로채는 ‘키로거’, 아이폰 바탕화면이 변경되는 ‘웜’이 나타난 바 있다.

◆사용자 보안의식 매우 낮아

이처럼 모바일 보안 위협이 커지고 있지만 사용자의 보안의식은 매우 낮은 상황이다. 트렌드마이크로 보고서에 따르면 보안 앱을 깐 이용자는 전 세계 안드로이드 이용자의 20%에 불과했다. 전문가들은 모바일 백신 제품을 내려받고 새로운 악성코드가 추가된 패치를 수시로 업그레이드할 것을 권했다. 이동근 한국인터넷진흥원(KISA) 코드분석팀장은 “검증받지 않은 마켓에서 앱을 내려받거나 운영체제를 인위적으로 조작하면 예상치 못한 보안 위협에 노출될 수 있다”며 “PC에서 웹서핑을 하다가 포털이나 블로그에서 앱을 내려받을 때도 특히 주의해야 한다”고 말했다.

김보영 기자 wing@hankyung.com