테크플러스

지구상에 있는 스마트폰 중 절대 상당수는 안드로이드 기반이다. 구글이 개발한 모바일 운용체계(OS)다. 스탯카운터에 따르면 2019년 4월 기준 안드로이드폰 점유율은 75.22%다. 애플 iOS는 22.76%, 기타가 2%다. 

이런 통계는 스마트폰 사용자 10명 중 7명 이상이 구글 앱스토어를 통해 애플리케이션을 내려받는다는 것을 방증한다. 그만큼 앱 스토어 플랫폼 시장에서 구글의 영향력은 막강하다. 올해 2분기만 구글 플레이 앱 다운로드 건수가 225억건에 달한다. 인도, 인도네시아, 브라질 등 신흥시장 수요에 힘입어 전분기 대비 15% 증가했다.

그런데 구글 플레이의 안전성에 대해 고민해본 적 있는가. 구글 플레이에서 매달 수십억건 내려받는 앱은 문제가 없을까. 아무런 의심 없이 설치해도 무방할까. 최근 세계 최대 앱 스토어 플랫폼 신뢰를 우려하는 사건이 하나 발생했다.

구글이 플레이 스토어와 광고 플랫폼에 중국 앱 개발사인 '쿠텍(CooTek)' 유통을 금지한 것이다. 쿠텍은 2008년 중국 상하이에서 설립된 회사다. 2018년 뉴욕증권거래소(NYSE)에 상장도 했다. 키보드 앱 '터치팔(TouchPal)'로 인기를 얻었다. 무료 키보드 앱인 터치팔은 이미 1억회 이상 설치된 것으로 알려졌다.

문제는 쿠텍이 구글 플레이에 올려 둔 앱에 광고 플러그인(애드웨어)를 탑재했다는 것. 처음에 설치했을 때는 깨끗한 듯 보인다. 24시간에서 길게는 2주간은 이 플로그인 때문에 광고에 노출됐다고 생각하기 어렵다고 한다.

모바일 보안업체 룩아웃은 자사 블로그를 통해 쿠텍의 광고 플러그인 '베이타애드(BeiTaAd)'가 단순 배너나 팝업 광고뿐만 아니라 잠금 화면 상태에서도 광고를 표시할 수 있다고 지적했다. 오디오와 동영상을 자동 재생하거나 스마트폰 슬립 모드에서도 광고를 내보낸다.

구글 플레이에 있는 수많은 앱에 애드웨어가 있다. 하지만 쿠텍이 만든 앱은 애드웨어 실행파일을 숨기거나 파일명을 몰래 바꾸는 등 악의성의 엿보인다는 게 중론이다. 단순 애드웨어가 아니라 멀웨어 수준이란 평가다.

구글은 쿠텍 앱을 차단했지만, 이미 많은 사용자가 애드웨어 피해를 봤다. 이 애드웨어는 사실상 스마트폰을 사용하지 못하게 만드는데 룩아웃은 최대 4억4000대 이상 안드로이드 기기가 잠재적 위험에 노출됐다고 지적했다. 쿠텍이 개발한 앱은 238개로, 모두 애드웨어를 감추고 있었던 것으로 나타났다.

이런 사례는 코텍뿐만이 아니다. 작년 말에는 IT 보안업체 ESET의 악성코드 연구원이 사기 앱 13건을 발견했다. 모두 '루이스 오 핀토(Luis O Pinto)'라는 개발자가 등록했다. 앱은 게임으로 위장했다. 설치를 하면 앱 아이콘을 없애고 백그라운드에서 다른 앱을 다운로드하기 시작한다. 추가 설치된 앱은 게임센터라는 이름으로 전체 네트워크 접근, 전체 네트워크 연결 보기, 시작 시 실행 등 권한을 요구한다. 지금은 구글 플레이에서 삭제됐지만, 이미 50만회 다운로드가 이뤄진 뒤다.

올해 초에는 이더리움 대표 지갑인 '메타 마스크' 앱으로 위장해 암호화폐를 탈취하려는 시도도 있었다. 앱을 내려받으면 이용자가 본인 지갑 주소를 복사해 붙여 넣을 때 공격자 주소로 전환, 암호화폐를 탈취한다. 이 또한 ESAT이 발견하고 구글 보안팀에 보고했다. 구글 플레이는 즉각 앱을 삭제했다.

물론 정상적인 앱이 비정상 앱보다 압도적으로 많다. 그러나 잘못된 앱 하나 두개로 이용자는 막대한 피해를 입을 수 있다. 구글은 앱 등록 시 제한된 콘텐츠, 개인 정보 및 보안 부정행위, 스팸 및 최소 기능 등 정책을 수립했지만, 사후약방문 수준이다. 일단 신고가 있어야 제대로 된 조치가 이뤄질 공산이 크다. 

룩아웃 관계자는 "정책만 안전하게 세워 둔다고 환경이 안전한 건 아니다"면서 "(구글 플레이에 대한)보다 획기적인 관리가 필요하다. 고객은 구글 공식 스토어에 대한 신뢰를 잃고 갈 곳을 잃게 될 수 있다"라고 지적했다. 

테크플러스 에디터 권동준

tech-plus@naver.com