이름과 설명서만 보면 멀쩡한 보안 앱...정체는 애드웨어 및 감시 앱
개발사와 다른 사용자 후기 등 꼼꼼하게 살핀 후 설치하는 습관 중요

[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)의 전문가들이 구글 플레이 스토어에서 보안 관련 툴인 척하지만 사실은 악성 기능을 가진 앱 36개를 적발했다. 이 앱들의 이름은 시큐리티 디펜더(Security Defender), 시큐리티 키퍼(Security Keeper), 스마트 시큐리티(Smart Security), 어드밴스드 부스트(Advanced Boost) 등이었다.


트렌드 마이크로에 따르면 보안 업체 전문 마케터가 지은 듯한 이름들을 가졌고, 핸드폰 스캔, 쓰지 않는 파일 청소, 배터리 소모 최적화, 앱 잠그기, 메시지 보안, 와이파이 보안 등 보안 업체 전문 마케터가 작성한 용어들이 앱 소개란에 난무하지만, 이 앱들은 사실 정보를 훔치고, 광고 폭탄을 투하하며, 사용자의 위치를 추적하는 기능을 수행한다고 한다.

이 악성 앱들이 수집하는 정보에는 안드로이드 ID, 맥 주소, IMSI, OS 관련 정보, 기기 브랜드 및 모델 정보, 기기 사양 정보, 사용 언어, 위치, 기기에 설치된 다른 앱 등이다. 그리고 이러한 정보들을 원격에 있는 서버로 몰래 전송한다. 심지어 각종 첨부파일 관련 정보와 사용자의 스케줄 정보를 수집하는 사례도 있었다.

이 앱들의 특징은 단축 아이콘이 화면에 등록되거나 설치된 앱 목록에 기재되지 않는다는 것이다. 사용자는 오로지 앱이 가끔 내보내는 통보 팝업창만 볼 수 있다. 하지만 모든 기기에서 그런 것은 아니다. 구글 넥서스 6P, 샤오미 MI 4LTE, ZTE N958St, LGE LG-H525n과 같은 모델에서는 ‘숨지’ 않는다고 한다. 트렌드 마이크로의 연구원들은 구글 플레이의 검사 정책에 맞추기 위한 것이라고 분석한다.

한 번 설치되고 나면 이 앱은 사용자에게 각종 보안 경고 메시지를 띄운다. 그것도 엄청나게 많은 양을 내보낸다. 물론 그 내용 대부분이 가짜다. “10.0GB 정도의 데이터로 이뤄진 트래픽이 탐지되고 있다”거나 “사기성 SMS 유출 취약점 발견” 등으로 얼른 보기에는 정말 보안 경고 같지만 말이다. 또한 이 메시지 끝엔 버튼을 누르라거나 하는 ‘행위’에 대한 요청도 포함되어 있다.

그래서 사용자가 버튼을 정말로 누르면 간단한 애니메이션이 뜨며 ‘문제가 해결됐다’는 안내가 나온다. 그리고 갖가지 광고가 곁들여서 등장한다. 뿐만 아니라 사용자가 화면 잠금을 해제하는 순간, 혹은 충전기에 연결하라는 경고가 뜨는 순간 등 상상할 수 있는 모든 모바일 사용 행위 뒤에 광고를 내보낸다. 그것도 아주 많이.

트렌드 마이크로는 “영리하게도 이 앱의 개발자들은 사용자가 약관까지 만들어 ‘동의’하도록 강제했다”고 말한다. 사용자가 동의 했으니 그 같은 악성 행위들을 해도 괜찮다는 변명을 하기 위한 최소한의 장치를 마련한 것이다. 하지만 “그럼에도 이 앱은 사생활을 심각하게 침해한다”고 트렌드 마이크로는 강조했다. “동의 여부와 상관없이 기능과 관련되지 않은 개인정보의 수집과 전송은 불법입니다.”

이러한 앱들이 발견된 건 2017년 12월의 일이다. 트렌드 마이크로는 구글에 이 사실을 알렸고, 구글은 스토어에서 이 앱들을 전부 삭제했다. 구글은 사용자들에게 “앱을 설치하기 전에 반드시 개발사를 확인하고, 리뷰와 코멘트란도 살피라”고 권고했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>