[보안뉴스 호애진] 모바일 보안 위협이 커지면서 악성 앱에 대한 사용자의 주의가 더욱 요구되고 있다.

악성 앱은 주로 악성코드를 유포해 개인정보 탈취, 전화나 문자 발송 등의 과금 발생, 기타 악성코드 다운로드, 원격 조종 등으로 사용자에게 피해를 입힌다.

그러나 최근 악성 모바일 앱에 대한 기준이 모호해지고 있다. 악성코드를 유포하지는 않고, 다만 과도하게 불필요한 개인정보 수집 기능 등을 가진 앱의 경우 이를 악성파일로 분류해야 하는지에 대한 의문이 제기되고 있는 것.

예를 들면 지난 6일 국내 유명 공개자료실을 통해 배포된 한 안드로이드 앱은 개인정보 유출을 시도하는 악의적인 기능으로 인해 악성 파일로 분류돼 공식 안드로이드 마켓에서 제거된 바 있다.

당시 이것을 처음 발견한 잉카인터넷 대응팀은 이를 악성 파일로 간주, 긴급 업데이트를 했지만 일부에서는 엇갈린 의견을 내비치기도 한 것으로 알려졌다. 그러나 며칠 후 일부 국내 백신업체도 해당 앱을 악성 파일로 분류해 자사의 모바일 보안 제품에 업데이트를 했고 이는 시사하는 바가 크다.

이제 모바일 보안 위협의 트렌드가 변화하고 있다는 것이다. 더 이상 해커들이 개발한 악성파일만 모바일 보안 위협의 범위에 머무르지 않을 수 있다는 점이다. 아무렇지 않게 타인의 개인정보를 무차별적으로 수집해 사용자 몰래 외부로 유출을 시도하는 앱이 점차 많아지는 것이 이를 반증하고, 이것도 하나의 범죄가 될 수 있다는 것이다.

개인정보에 대한 중요성이 한층 고조된 현 시점에서 무분별한 정보 수집은 사회적으로 큰 문제가 되고 있다. 따라서 개발자가 악의적으로 의도하지 않더라도 사용자 동의 없이 개인정보를 몰래 수집하거나 디바이스 정보 등을 외부로 유출을 시도한다면 악성 앱으로 간주된다.

광고 및 사용자 통계 관리 등을 위한 단순한 목적의 정보 수집이라 할지라도 문제가 될 수 있다. 사실 이에 대한 사례는 지난해 2월 이토마토의 증권정보 애플리케이션 ‘증권통’의 개인정보 무단수집 혐의와 관련, 법원이 유죄를 선고한 판례를 참고해 볼 수 있다.

당시 이토마토의 증권통 애플리케이션은 로그인 절차를 간편하게 하기 위해 사용자의 동의를 받지 않고 국제단말기 인증번호(IMEI), 범용 가입자식별모듈(USIM) 일련번호 등의 주요 정보를 포함해 총 8만 3,416건의 개인정보를 수집했고, 이것이 문제가 됐던 것.

결국 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반으로 이토마토 부사장 남 모씨(49)는 유죄를 선고 받고 700만원의 벌금을 부과 받았으며, 증권통의 개발사와 대표 이 모씨(45)도 각각 벌금 500만원이 부과됐다.

앞으로 개인정보보호의 중요성은 더욱 커질 것이고, 이를 위협하는 모바일 앱이라면 악성 앱으로 간주돼 마켓에서 삭제될 수 있다. 이에 개발자도 주의를 기울여야 하며 사용자의 경우 모바일 전용 백신을 설치해 이러한 보안위협으로부터 발생할 수 있는 피해를 막도록 해야 할 것이다. 물론 이에는 모바일 백신업체의 노력도 포함돼야 한다.

이와 관련 문종현 잉카인터넷 대응팀 팀장은 “최근 국내의 불특정 다수에게 상업성 외산 스마트 폰 감시용 프로그램의 홍보성 SPAM 메일이 다량 유입된 것이 발견된 적이 있는데, 이러한 광고업자에게는 스마트 폰 사용자의 전용 이메일 수집이 하나의 악용 목적이 될 수도 있다는 것을 알 수 있었다”며 “보안에서 개인정보의 높고 낮음을 구분하는 것 자체가 모순이 될 수 있다”고 강조했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>