우회 설치파일 악성코드 발견 "정보유출 우려"

증강현실(AR) 기반 모바일 게임 '포켓몬 고(Go)'를 국내에서 우회 설치하는 사례가 늘면서 보안에 대한 우려가 커지고 있다.

검증되지 않은 설치파일(APK)을 별도로 내려받으면 악성 코드에 감염될 가능성이 크고, 게임 계정을 통해 개인정보가 대량 유출될 수 있다는 지적이다.

14일 보안업계에 따르면 지난주 해외 사이트에 올라온 '포켓몬 고'의 일부 설치파일에서 악성 코드가 발견됐다.

해당 악성 코드는 공격자가 피해자의 스마트폰을 제어할 수 있는 '드로이드잭(DroidJack)'으로 확인됐다.

문제는 '포켓몬 고'가 정식 출시된 국가가 4개에 불과해 설치파일을 통해 게임을 내려받는 이용자가 많다는 점이다.

미출시 국가에서 '포켓몬 고'를 하려면 아이폰 사용자는 출시된 국가의 계정을 따로 만들어야 하고, 안드로이드 스마트폰 사용자는 별도의 설치파일을 내려받아 실행해야 한다.

하지만, '리패키징앱'으로 불리는 이러한 설치파일은 출처가 불분명하다.

정식 앱이 아닌 탓에 국내 앱 마켓에서는 유통되지 않아 해외 사이트나 SNS를 통해 구해야 한다.

모바일 조사업체 와이즈앱에 따르면 이러한 방식을 통해 지난 7~13일 국내에서 '포켓몬 고'를 내려받은 안드로이드 스마트폰 사용자는 40만 명을 넘은 것으로 추정된다.

보안업계 관계자는 "공식적인 앱 스토어가 아닌 곳에서 앱을 내려받는 것은 매우 위험하다"며 "공식 앱 마켓에는 보안성을 검증하는 절차가 있지만, 리패키징앱에는 이러한 절차가 없어 악성 코드에 감염될 가능성이 크다"고 우려했다.

'포켓몬 고' 공식 트위터도 지난 11일 "구글 플레이 스토어나 앱 스토어가 아닌 곳에서 설치할 경우 악성 코드나 바이러스에 감염될 수 있다"고 경고했다.

게임 계정을 통한 개인정보 유출은 또 다른 문제다.

'포켓몬 고'는 구글 계정이나 포켓몬닷컴 사이트 계정을 갖고 있어야 이용할 수 있다.

아이폰 이용자가 '포켓몬 고'를 이용하려면 구글 계정에 새로 가입해야 하는데 이때 계정에 등록된 기본 정보가 게임 개발사로 넘어가게 된다.

'포켓몬 고'는 아이폰 이용자가 구글 계정에 가입할 때 계정 전체의 접근권(full access)을 요구하고 있다.

전체 접근권은 구글 계정에 등록된 이메일 정보와 저장 사진까지 게임 개발사가 볼 수 있다는 의미다.

이와 관련해 비판이 불거지자 개발사인 나이앤틱은 부랴부랴 정보 접근권을 제한하고, 보안을 강화하겠다며 진화에 나섰다.

하지만 '포켓몬 고'가 수집하는 정보가 워낙 방대하다 보니 대규모 보안침해 사고가 발생할 가능성은 여전하다.

게임업계 관계자는 "'포켓몬 고' 운영에는 이용자의 실시간 위치 정보부터 카메라 데이터까지 광범위한 정보가 필요하다"며 "보안침해 사고가 발생할 경우 유출될 수 있는 정보량이 그만큼 많다"고 지적했다.

(서울연합뉴스) 고현실 기자 okko@yna.co.kr

ⓒ 한경닷컴, 무단전재 및 재배포 금지