채굴 코드 삽입 자체는 불법 행위 아냐...하지만 사용자에겐 알려야
사용자 약관 고친 개발자...일부 전문가, “충분한 고지 아냐”

[보안뉴스 문가용 기자] 러시아의 한 개발자가 암호화폐를 채굴하는 코드를 자신이 만든 퍼즐 게임 앱인 퍼즐(Puzzle)에 삽입한 사실이 뒤늦게 드러났다. 뿐만 아니라 게임 내 보상 시스템 및 보너스 관리 앱인 리워드 디거(Reward Digger)에도 이 코드를 심었다가 발각됐다. 이 코드 자체가 불법인 것은 아니지만 사용자의 기기를 자신의 암호화폐 채굴을 위해 사용하고 있었다는 사실을 누구에게도 알리지 않은 것이 문제가 되고 있다.


암호화폐를 채굴하는 기능을 자신이 직접 만든 앱에 추가시키는 행위는 아직까지 위법이나 불법으로 분류되지 않는다. 하지만 윤리적인 측면에서는 논란이 정리되지 않았다. 특히 사용자가 그러한 기능의 존재유무를 모르고 있는 경우가 많아 논란이 커지고 있다고 보안 업체 익시아(Ixia)의 수석 분석가인 스티브 맥그레고리(Steve McGregory)가 설명한다. 퍼즐과 리워드 디거에서 이러한 코드를 발견한 것도 익시아였다.

맥그레고리는 “문제의 앱 두 개를 만든 개발자의 ID는 옥소투크(Oxothuk)”라며 “어디에도 소속되어 있지 않은 독립 개발자”라고 설명한다. 옥소투크가 사용자에게 암호화폐 채굴 코드가 삽입되어 있다는 사실을 알리지 않은 것이 왜 문제가 될까? “암호화폐를 채굴하면 CPU 파워가 소모됩니다. 데이터 소모량도 커지죠. 즉 전기세와 데이터 통신료가 추가된다는 겁니다. 기기 성능 저하 현상도 발생하고요.”

익시아가 옥소투크의 앱에서 이러한 문제점을 발견한 건 11월 2일의 일이다. “앱을 분석했더니 채굴 기능이 나왔고, 사용자 약관 등을 조사했지만 채굴 코드에 대한 언급은 하나도 없었습니다. 사용자를 속이고 있다는 결론을 내렸습니다.” 현재까지 퍼즐은 5백만~1천만 명이 다운로드를 받은 것으로 기록되어 있다.

특이한 건 옥소투크가 네트워크형 채굴 기술인 채굴 풀(mining pool)에 자신의 아이디인 옥소투크까지도 공개했다는 것이다. 통상적으론 인증을 받은 채굴자들에게 지갑 주소들만 공유한다. 맥그레고리는 “옥소투크에 연락을 취했을 때, 자신이 어떤 잘못을 했는지 전혀 모르고 있었다”고 설명한다. “딱히 일부러 속이려고 한 것은 아닌 듯 했습니다.”

보안 전문 외신인 다크리딩(Dark Reading)도 옥소투크와의 인터뷰를 통해 이와 비슷한 사실을 파악해냈다고 알려왔다. “앱의 사용자 약관에 암호화폐 채굴과 관련된 내용을 추가했다”고 옥소투크가 설명한 것이다. 실제 퍼즐 앱은 구글 스토어에서 업데이트가 진행됐고, 옥소투크는 “고지해야 한다는 걸 몰랐을 뿐 숨기려고 한 건 아니었다”고 밝혔다.

하지만 리워드 디거는 구글 플레이스토어에서 방출됐다. 맥그레고리는 “그렇다고 퍼즐 앱에 문제가 없는 건 아니”라고 설명한다. “여전히 사용자들에겐 인게임 코인만 지급하고, 진짜 암호화폐를 얻는 건 옥소투크뿐입니다. 약관을 고쳤다고 해서 사용자들에게 충분히 고지됐다고 볼 수도 없고요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>