허술한 가짜 안드로이드 앱, 수십만 회 다운돼
구글플레이에 등록된 앱, 이대로 믿을 수 있나?
최근 구글플레이에서 아래와 같은 앱들을 설치한 적이 있나요? 그렇다면 가급적 빨리 삭제하시길 바랍니다. 지난 19일 ESET의 보안 연구원인 루카스 스테판코가 자신의 트위터를 통해 구글플레이에 등록된 악성 앱 13개를 공개했습니다. 이들은 모두 게임을 가장한 사기성 앱으로, 구글은 제보를 받은 직후 해당 앱들을 전부 삭제했지만 이미 56만 건 이상의 다운로드가 일어났다고 합니다.
사진: 루카스 스테판코 트위터 계정 (@LukasStefanko)장터에 등록된 앱은 깡통, 악성 앱은 다른 경로로 다운
현재 알려진 바에 따르면 이 앱들의 목적은 광고 수익인데요. 모두 Luis O Pinto라는 개발자 이름으로 등록됐으며 수법도 동일합니다. 우선 사용자가 스포츠 게임으로 착각해 앱을 다운로드하도록 유도한 뒤, 앱이 설치되면 원래 앱의 아이콘은 숨기고 새로운 앱을 설치하도록 합니다. 이때 설치되는 추가 앱은 개발자가 원래 앱 코드 안에 임의로 넣어둔 주소를 통해 별도의 외부 서버에서 다운로드 되며, ‘Game Center’라는 이름을 갖고 있습니다.
이때 기기에 익숙하지 않은 사용자들은, 원래 앱의 아이콘이 보이지 않으므로 이것이 설치 실패 후 재 다운로드 된 앱으로 착각하게 됩니다. 또 ‘Game Center’는 설치에 앞서 전체 네트워크와 접근 권한과 자동 실행 권한을 요구하는데요. 이때 무심코 확인을 누르면 결국 사용자의 스마트폰에는 게임 대신 엉뚱한 사기 앱이 설치되는 거죠. 그나마 다행인 건 이 앱이 치명적인 해킹이나 파괴적 유형이 아닌, 단순 광고를 노출하는 앱이었다는 점인데요. 문제는 애초에 이런 허술한 악성 앱이 구글 플레이에 버젓이 등록되고, 정상적으로 유통됐다는 사실입니다.
잊을 만하면 사고 치는 구글플레이
애플 앱스토어에 비해 상대적으로 앱 등록 및 유통 절차가 느슨한 구글 플레이의 보안 사각지대는 안드로이드 초창기부터 지적돼 온 문제인데요. 물론 구글은 최근까지도 등록된 앱의 사후 심사를 강화하고 Play 프로텍트라는 악성앱 검출 솔루션을 추가하는 등 지속적인 개선의 의지를 보여왔습니다. 여기에 최근에는 투명성 보고서를 통해 ‘구글플레이만 사용하는 기기는 그렇지 않은 기기에 비해 9배 더 안전하다.’고 밝히기도 했죠. 하지만 이번 일을 비롯해 유사한 사고가 끊이지 않으며 구글이 주장하는 안전에 대한 불신은 쉽게 사그라지지 않고 있습니다.
앱 설치 시 불필요한 권한 요구에 주의하자
막연히 구글만 믿을 수 없는 상황이라면, 사용자 입장에서는 어떤 노력을 취할 수 있을까요? 바로 앱이 요구하는 권한에 대한 꼼꼼한 확인입니다. 사실 모든 앱이 설치만 된다고 악성 행위를 할 수 있는 건 아닙니다. 먼저 실행이 돼야 하고, 원하는 작업이 이루어지기 위해서는 특정 시스템에 대한 접근(사용) 권한이 필요한데요. 이런 권한은 대부분 앱 설치 페이지 상세 정보에서 확인할 수 있으며, 처음 실행할 때는 권한 접근에 대한 최종적인 허가 여부를 확인하게 됩니다.
악성앱과 관계 없는 단순 예시입니다.사용자는 이 단계에서 설치하는 앱이 어떤 의심스러운 권한을 요구하지 않는지 확인하는 습관을 들이는 게 좋습니다. 예를 들어 단순한 메모 앱이 전화나 문자메시지에 대한 권한을 요구하는 것처럼 말이죠. 또 요즘 많은 안드로이드폰이 자체 설정 메뉴에서 설치된 모든 앱이 사용 중인 권한에 대한 확인 기능을 탑재하고 있으니, 설치 후에도 주기적인 확인을 통해 의심스러운 앱의 접근을 차단하는 노력이 필요합니다.
갤럭시 시리즈의 경우, 설정 - 검색바에서 '앱 권한'을 찾으면 쉽게 접근할 수 있다이밖에 모바일용 백신의 실시간 감지 옵션을 활성화하는 것도 좋은 방법입니다. 비록 이러한 방법들이 악성코드를 100% 차단한다고 장담할 수 없으나, 보안을 위한 노력이 한 단계 늘어날수록 예기치 못한 보안 사고에 휘말릴 가능성은 그만큼 낮아집니다. 구글 역시 이번 같은 일이 더 이상 발생하지 않도록 구글플레이의 앱 검수 절차를 더욱 세심하게 다듬어야 할 것입니다.
기사문의: 오픈모바일(wel_omcs@naver.com)
