채굴 불가능한 암호화폐 채굴해준다는 약속...실행 시 화면도 그럴듯
그러나 광고만 계속 노출시키는 앱...개발자, 알고 그랬을까, 속았을까?

[보안뉴스 문가용 기자] 채굴이 불가능한 암호화폐까지도 채굴하게 해준다는 앱이 안드로이드 플레이 스토어에 등장했다. 하지만 조사해보니 악성 앱이었다.


이 앱을 발견한 보안 업체 포티넷에 따르면, “이 앱은 리플(XRP), 카르다노(Cardano, ADA), 테더(Tether, USDT) 등 채굴 행위로 얻을 수 없는 암호화폐 코인들을 채굴할 수 있게 해준다는 설명이 붙어 있었다”고 한다.

이와 비슷한 앱이 2018년 2월에도 등장한 바가 있었다. 포티넷은 10월 11일자 블로그 포스팅을 통해 “이런 종류의 앱이 그 동안 눈에 안 띄게 앱스토어 등에 등장했던 것으로 보인다”고 의심했다.

이 앱을 설치해서 돌리기 시작하면 화면에 해싱 게이지가 뜬다. 그러면서 채굴된 코인의 수가 천천히 올라가는 걸 볼 수 있다. 사용자에게는 이것이 마치 자신의 수익인 것처럼 보인다. 그래서 이를 인출하려고 하면 오류 메시지가 뜬다. 지갑 주소를 다시 확인해보라는 내용이다.

하지만 이는 전부 가짜다. 채굴도 전혀 발생하지 않는다. 사용자는 이 앱을 돌리면서, 여느 무료 앱들처럼 수많은 광고들을 보게 되는데, 그것이 이 앱의 유일한 기능이다. 광고 노출을 통해 개발자만 수익을 얻는 것 말이다. 사용자들은 채굴을 계속해서 해야 하기 때문에 이 앱을 항상 켜두게 되는데, 이 때문에 개발자의 광고 수익은 올라갈 수밖에 없다.

디지털 리스크 관리 업체인 더 미디어 트러스터(The Media Trust)의 디지털 보안 및 운영 담당자 마이크 비트너(Mike Bittner)는 “암호화폐 채굴과 관련된 앱들에서 악성 행위가 발견되는 것이 어제 오늘 일이 아니지만, 정상적인 모바일 앱 개발자들과 서비스 제공업자들 중 많은 사람들이 서드파티 코드에 포함된 위험성에 대해서는 아직 잘 모르고 있다”고 설명한다.

“사실 ‘서드파티 코드’가 뭔지도 모르는 사람이 많습니다. 그 개념을 알고 있다고 하더라도, 자신이 사용하고 있는 코드나 앱 중 서드파티 코드가 뭔지 파악 못하고 있는 사람들도 많고요. 서드파티 코드가 어디에 있는지, 그 기능이 무엇인지까지 정확히 이해하고 있는 사람은 정말 드뭅니다.” 비트너의 설명이다.

“모바일 앱 개발자 및 제작자들은 실시간으로 자신들의 디지털 자산을 스캔하고 평가해야 합니다. 디지털 생태계에서 누가 어떤 식으로 어떤 행동을 하고 있는지를 파악해야 한다는 것이죠. 그래야 명예 손상이나 고객 신뢰 손실은 물론 무거운 벌금형까지도 피할 수 있습니다. 이 앱 개발자가 일부러 광고만 노출되는 앱을 만들고 허위로 채굴 코드라고 광고한 것인지, 그 자신도 서드파티 코드에 속은 것인지는 아직 알 수 없습니다만, 이 앱에 속은 수많은 사람들은 개발자를 욕하고, 더는 신뢰하지 않을 겁니다.”

이러한 가짜 채굴 코드를 개발한 사람은 lovecoin이라는 이름으로 구글 플레이 스토어에 여러 가지 앱을 등록시켰다.
3줄 요약
1. 구글 플레이 스토어에 암호화폐 채굴 앱 등장.
2. 채굴이 불가능한 코인들을 채굴해준다는 설명과 디스플레이.
3. 하지만 채굴은 조금도 되지 않고, 광고 노출만 잔뜩 이뤄짐.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>