개발자도 모르게 데이터 수집? 구글, 몇몇 앱 플레이 스토어에서 추방

- Advertisement -

(출처: 기즈모도)

편의를 위해 스마트폰에 다운로드한 앱이 나도 모르게 개인 정보를 쏙쏙 빼내간다면 어떨까? 큰 배신감이 들 것이다. 문제는 이런 상황을 앱 개발사도 모르고 있었다는 점이다. 앱을 만들어 배포한 개발사가 아닌 제 3자가 개인 정보를 수집하고 있었던 것.

지난 6일(현지시간), 미국 매체 월스트리트저널(WSJ)은 구글이 비밀리에 데이터를 수집하고 있는 특정 앱들을 구글 플레이 스토어에서 삭제했다고 보도했다.

WSJ는 앱 센서스(appcensus) 블로그에 올려진 보고서를 인용해 보도했는데, 현재 금지 조치가 내려진 앱들에서 발견된 코드는 북아메리카 최남단인 파나마에 위치한 것으로 추정되는 ‘더매저먼트시스템스(The Measurement Systems)’라는 회사가 만든 코드라고 한다.

문제가 된 악성코드 (출처: APPCENSUS)

앱 센서스를 운영하는 캐나다 캘거리 대학교 연구원 조엘 리어던(Joel Reardon)과 미국 버클리 캘리포니아 대학교 국제 컴퓨터 과학 연구소의 세르게이 에겔만(Serge Egelman)은 2021년 10월 20일에 악성 데이터 코드를 발견하고 코드가 포함된 앱 목록을 구글에 전달했다.

이들의 보고를 받은 뒤 조사에 착수한 구글은 지난 3월 25일, 일부 앱들을 다운로드 금지하거나 삭제 처리했다.

그들은 어떻게 자신의 앱도 아닌 소프트웨어에 악성 코드를 집어넣을 수 있었을까. 보도에 따르면 회사에서 제작한 해킹 코드를 별도로 개발자들에게 건네 각각의 앱에 심은 것으로 보인다. 이를 위해 개발자에게 비용을 지불했고, 개발자들은 더매저먼트시스템스가 건넨 코드를 그들의 소프트웨어에 포함시켰다.

앱에 이들이 작성한 악성 코드가 포함되어 다운로드 되면서, 전 세계 수백만 사용자들의 정보가 더매저먼트시스템스로 모여들었던 것이다.

(출처: 지뉴스)

또한 WSJ는 더매저먼트시스템스가 단순히 개인 정보 수집을 목적으로 코드를 유포한 것이 아니라고 주장했다. 회사의 인터넷 도메인 등록을 조사한 결과 미국 보안 기관에 관여하는 계약자와 연관돼 있음을 밝혀냈다. 앱에서 공통적으로 나타난 코드는 미국 국가 안보 계약자와 연결되어 있다며 이번 정보 수집은 국가적인 비밀 데이터 수집에 연루됐거나, 미국 방산업체와 관련이 있다고 지적했다.

어떤 정보들이 수집된 것일까? 보고서에서는 코드가 심어진 앱들이 수집한 데이터도 공개됐다. 위치 데이터, 이메일 주소, 전화 번호, 주변에 연결된 장치에 대한 세부 정보뿐만 아니라 왓츠앱(WhatsApp) 다운로드 폴더에 저장된 파일 휴대폰 파일 시스템의 일부까지 스캔해서 수집했다.

특히 주목할 부분은 클립보드 내용까지 수집했다는 점이다. 클립보다는 스마트폰에서 특정 텍스트를 선택해서 복사한 내용이 저장되는 공간이다. 많은 이가 비밀번호, 계좌 등 민감한 정보를 복사, 붙여넣기 하기 때문에 민감한 정보까지 수집되었을 가능성이 크다.

(출처: 아이티프로투데이)

WSJ은 “가장 큰 문제는 수집된 데이터를 통해 누군가의 실제 이메일과 전화번호, 정확한 GPS 위치 기록 등을 연동한 데이터베이스를 구축할 수 있다”면서 “전화 번호나 이메일 등의 정보가 언론인, 반체제 인사 또는 정치적 경쟁자를 표적으로 삼는데 사용될 수 있다”고 우려를 표했다.

리어던과 에겔만의 보고서에 따르면 악성코드는 QR 코드 스캐너, 과속 방지턱 경고 앱, 오디오 스튜디오 앱 등 종류를 가리지 않고 다양한 앱에 심어졌다. 특히 다운로드 됐던 앱 중 스피드 카메라 레이더 앱, 원격제어 앱은 각각 5백만 회 이상 다운로드된 인기 앱이며, 이를 통해 에겔만은 현재까지 최소 6천만 대 이상의 장치에서 정보 유출이 이루어졌을 거라고 추측했다.

해당 코드가 삽입된 앱들은 이제 사용할 수 없는 것일까? 구글은 복구 중이라는 입장을 밝혔다. 구글 대변인 스콧웨스트오버(Scott Westover)는 “악성 코드 삽입으로 인해 문제가 된 앱들은 문제가 된 부분을 제거 후 다시 구글 플레이 스토어에 등록할 수 있도록 했으며, 일부 앱들은 이미 구글 플레이에 복구된 상태”라고 전했다.

하지만 한번 감염됐던 앱을 선뜻 다시 사용하기란 사용자 입장에서도 쉬운 일이 아닐 듯하다. 리어던과 에겔만은 6년 동안 모바일 앱을 조사했는데, 이번 사건이 ‘가장 사생활 침해가 심한 사례’라고 설명했다.

테크플러스 에디터 이지은

tech-plus@naver.com​

[fv0012]

- Advertisement -

댓글

Please enter your comment!
Please enter your name here


Related Stories