공짜 앱 100개중 1개는 개인정보 몰래 수집

김광현의 IT 집중분석

PC보다 보안에 취약…애플 앱스토어도 뚫려 금전 피해 위험 커져

스마트폰의 보안 문제가 정보기술(IT) 업계를 강타하고 있다. 미국 이통통신사들이 내밀한 개인정보를 수집할 수 있는 소프트웨어 ‘캐리어IQ’를 스마트폰에 탑재한 사실이 알려진 가운데 비슷한 기능의 수많은 ‘악성 앱’들이 부지불식간에 스마트폰에 깔리고 있는 것으로 드러났기 때문이다. 특히 보안이 까다롭기로 이름난 애플 앱스토어의 보안망도 뚫린 사실이 밝혀져 큰 충격을 주고 있다.

미국 전기전자공학회(IEEE)는 최근 발행한 ‘사이버 전쟁’이란 보고서에서 ‘2012년에는 모바일 해킹이 급격히 늘어날 것’이라며 해커들이 공짜 악성 앱을 널리 사용할 것이라고 전망했다. 제프리 보아스 표준기술연구소(NIST) 연구원 주도로 진행된 이번 연구·조사에서는 2000개가 넘는 공짜 앱에서 멀웨어(악성코드)가 발견됐다.

보아스 박사는 “공짜 앱 100개당 1개꼴로 멀웨어가 심어져 있었다”며 “악성 앱은 멋진 기능을 공짜로 제공하기 때문에 속기 쉽다”고 말했다.

◆“인기 앱일수록 경계해야”

외신에 따르면 영국 보안업체 겟세이프온라인은 최근 스마트폰이 널리 보급되면서 해킹의 표적이 되고 있다고 경고했다. 이 회사의 릭 퍼거슨 이사는 “악성 앱을 이용해 1건에 6파운드(1만원)짜리 문자를 보내게 하거나 매분 문자를 보내게 하는 경우를 확인했다”며 “은밀하게 진행되기 때문에 사용자가 알아채기 어렵다”고 말했다.

최근에는 애플 앱스토어도 뚫린 것으로 밝혀졌다. 보안회사 애큐번트 직원인 찰리 밀러가 ‘인스태스톡’이라는 악성 앱을 개발한 뒤 애플의 승인을 받아 앱스토어에 등록했는데 두 달이 지나도록 아무도 알아채지 못했다는 것. 이 앱은 실시간 주가 추적용이지만 원격지에서 스마트폰에 저장된 파일을 읽을 수도 있고 연락처를 빼갈 수도 있다.

밀러는 애플 측에 앱스토어 보안에 허점이 있다고 경고한 뒤 ‘인스태스톡’이 악성 앱이라고 밝혔다. 그러자 애플은 이 앱을 앱스토어에서 내리고 밀러에게는 1년 동안 앱스토어에 등록하지 못하도록 하는 조치를 취했다.

전문가들이 악성 앱이 위험하다고 경고하는 것은 컴퓨터에 비해 침투하기가 훨씬 쉽기 때문이다. 컴퓨터의 경우 방화벽도 있고 악성코드 차단 프로그램도 있지만 스마트폰의 경우 방어가 허술하다. 게다가 마켓에 앱을 등록할 때 제대로 검증하지 않고 ‘앵그리버드’와 같은 인기 앱에 악성코드를 심어 놓으면 별다른 의심 없이 내려받기 쉽다.

◆“금전피해 곧 가시화”

국내에서 악성 앱으로 인해 큰 피해를 입었다는 사례는 아직 없다. 하지만 악성 앱이 존재하지 않는다는 뜻은 아니다. 최광희 한국인터넷진흥원 개인정보보호기획팀장은 “현재는 악성 앱이 몰래 개인정보를 빼가는 게 대부분이라서 피해를 당하고도 모르는 경우가 많을 것”이라며 “금전적 위협이 커질 것으로 보고 대비하고 있다”고 말했다.

인터넷진흥원은 개인정보를 빼가는 악성 앱을 진단하기 위해 여름부터 스마트폰 악성 앱 자동점검 시스템을 개발하고 있다. 진흥원은 이달 중 개발을 끝내고 SK텔레콤 KT LG유플러스 등 이동통신 3사에 배포해 앱을 마켓에 등록하기 전에 진단하도록 할 계획이다.

한편 갤럭시S 등 삼성 스마트폰에 개인정보를 빼갈 수 있는 3종의 앱이 깔려 있다는 보도에 대해 삼성전자는 “절대로 스마트폰 사용자의 개인정보를 수집하거나 활용하지 않는다”며 “문제가 된 앱은 개발자 실수로 깔린 것이며 삼성전자가 제공하는 모든 앱에는 개인정보를 수집하는 기능(코드)이 들어 있지 않다”고 해명했다.

김광현 IT전문기자 khkim@hankyung.com