파운드앤콜, ‘친구 찾기’ 기능 통해 사용자 몰래 연락처 빼내

[보안뉴스 호애진] 사용자의 연락처를 빼내 스팸 문자를 보내는 악성 앱이 등장했다. 애플 앱스토어와 구글 플레이 스토어에서 무료로 다운로드가 가능했기 때문에 이미 다운로드 받은 사용자들의 적지 않은 피해가 예상된다.

카스퍼스키는 5일(현지시각)  ‘파운드앤콜(Found and Call)’이라는 앱이  ‘친구 찾기’ 기능을 통해 사용자 몰래 연락처 데이터를 개발업체가 관리하는 한 원격 서버에 업로드한다는 사실을 확인했다.

이러한 기능은 사용자라이선스 동의서(EULA)나 서비스 약관에 명시돼 있지 않다. 특히, 사용자의 위치를 정확하게 알 수 있는 GPS 좌표값도 보내는 것으로 확인돼 문제가 되고 있다.

파운드앤콜은 사용자의 연락처를 이용해 스팸 문자를 보낸다. 각 메시지는 자신의 친구에게서 온 것처럼 보여지며, 메시지에는 해당 앱을 설치하도록 링크가 담겨져 있다.

구글과 애플은 이 악성 앱이 논란이 되자, 뒤늦게 삭제한 상태다. 앞서 구글은 스토어 내 존재하는 악성앱을 자동으로 스캔해주는 시스템인 ‘바운서’를 도입한 바 있다. 또한 애플은 UDID(Unique Device IDntifier: 아이폰ㆍ아이패드 등에 할당된 식별자 아이디)를 사용하는 앱의 인증을 거절하는 등 보안을 강화하기 위해 많은 노력을 해 왔지만, 이를 막는 데는 역부족인듯 하다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>