부모님 폰에 설치한 '트로트 앱'에 악성코드가…한국인 노렸다

머니투데이

황국상 기자

SpinOk 코드가 포함된 애플리케이션의 예시. SpinOK 코드가 포함된 앱은 사용자 데이터와 파일들을 공격자에게 전송한다. / 사진=카스퍼스키 블로그 캡쳐

각종 보안사고가 터질 때마다 보안기업들은 애플의 앱스토어나 구글의 플레이스토어 등 정식 앱스토어에서만 앱을 내려받을 것을 권고한다.

그러나 정식 앱스토어라고 해서 앱이 안전하다는 것을 보증해주지는 못한다. 수억건의 다운로드를 기록한 앱들 중에서도 사용자 정보를 몰래 빼가기 위한 악성 코드가 심어져 있는 경우가 종종 발견되기 때문이다.

17일 글로벌 사이버보안 기업 카스퍼스키에 따르면 2023년 한 해 현재까지 구글 플레이스토어에서만 다운로드된 악성코드의 수는 6억건을 넘어섰다. 구글 플레이스토어에는 300만개 이상의 독특한 앱들이 있고 정기적으로 업데이트되며 철저히 조사된다.

그럼에도 악성 앱 제작자들은 악성 앱들을 구글 플레이스토어에 몰래 삽입하기 위한 다양한 기술들을 개발했다. 이는 6억건에 이르는 악성코드가 이용자들의 기기에 다운로드되는 결과로 이어졌다.

그 중 4억5100만 다운로드를 기록한 미니게임 앱이 있다. 안드로이드 기기를 사용할 때마다 툭툭 튀어 오르는 현금보상 미니게임 등, 누구나 안드로이드 앱을 사용하다보면 보게 되는 광고를 통해 봤음직한 앱들이다. 올 5월 발견된 약 200건에 달하는 부적격 앱들은 스핀오케이(SpinOK)라는 이름의 코드 라이브러리가 심어져 있는 것들이었다. 안드로이드 기기에서 이용자 파일을 수집해 공격자에게 전송하는 기능을 하는 악성코드다.

올 4월에 발견된 '골드손'(Goldoson)이라는 애드웨어에 감염된 앱도 60개에 달한다. 구글플레이에서만 1억건, 국내의 원스토어에서도 800만건의 다운로드를 기록한 악성 앱 유형이다. 사용자의 지리적 위치, 사용자가 내려받은 앱들, 기기의 주소 등 정보를 와이파이 및 블루투스 등 통신방식을 통해 수집한 것으로 나타났다. 골드손은 합법적인 개발자들이 사용하는 라이브러리에 침투해 이들 개발자들이 부지불식간에 해당 코드를 사용해 앱을 만들도록 유도한 것으로 파악됐다.

전 세계적으로 인기를 끌고 있는 마인크래프트 게임 형태의 공격도 올 4월 발견됐다. 무려 38개에 이르는 마인크래프트 유사 앱들이 3500만건이나 다운로드된 것이다. 여기에는 '히든애즈'(HiddenAds)라는 애드웨어가 숨겨져 있었다. 감염된 앱이 실행되면 숨겨져 있던 각종 광고들이 실행된다. 여타 앱들처럼 사용자 정보를 탈취하는 등 위협을 가하지는 않지만 장치의 성능이나 배터리 수명에 부정적 영향을 미친다고 알려졌다.

아울러 걸음 수에 따라 광고를 보는 조건으로 현금성 포인트를 제공하는 사기성 앱도 2000만건이나 다운로드된 것으로 나타났다. 실제 포인트가 지급되기는 하지만 보상을 받기 위해서는 사실상 불가능할 정도의 엄청난 포인트를 모아야만 한다는 점에서 사실상 '사기성 앱'(Scamming App)이라는 게 카스퍼스키의 분석이다.

'트로트 노래모음', TV·DMB 플레이어, 뉴스속보 등 이름을 달고 있는 앱들. 올해만 250만건이 다운로드된 애드웨어 감염 앱들의 일부다. 주로 한국인이 이들 앱의 타깃이었다고 한다. 카스퍼스키는 이들 앱들이 설치될 경우 이용자 기기의 화면이 꺼져 있을 때 광고를 내려받도록 해 배터리 수명을 단축시키는 등 영향이 있다고 지적했다. / 사진=카스퍼스키 블로그 캡처

올 8월에는 TV나 DMB(디지털방송) 플레이어, 음악 플레이어, 뉴스앱, 달력앱 등으로 위장한 43개의 앱이 발견됐다. 이들 앱들은 이용자들의 기기 화면이 꺼져 있을 때 몰래 광고를 내려받도록 했다. 백그라운드에서 광고를 내려받도록 하기 위해 이들 앱들은 사용자에게 절전 제외 항목에 추가하도록 요청도 했고 이용자들의 배터리 수명도 그만큼 줄었다. 눈에 띄는 것은 이들 앱들의 타깃은 주로 한국인이었다.

올 7월 발견된, 150만 다운로드를 기록한 2개의 파일관리 도구앱이 연락처, 실시간 위치 정보, 스마트폰 모델, 사진, 오디오 등 정보를 중국 서버로 전송하는 것이 확인됐다. 이들 앱들은 사용자들이 앱을 지우지 못하도록 앱 목록 화면에서 아이콘을 지우기도 했다.

이외에 2021년 9월 구글 플레이에 올라온 '아이레코더'(iRecorder) 앱은 원래는 단순한 스마트폰 화면녹화 앱에 불과했지만 2022년 8월 개발자가 악성기능을 추가하면서 악성앱이 됐다. 이 앱을 설치한 사용자의 스마트폰이 15분마다 마이크를 통해 소리를 녹음해 서버로 전송하게 한 것이다.

정식 앱스토어라고 해서 무작정 믿고 쓸 수 없게 된 상황이다. 카스퍼스키는 △새로운 앱을 다운로드할 때마다 앱 페이지를 자세히 살피고 정품 앱인지, 개발자 이름이 제대로 기재돼 있는지 확인하고 △트로이목마 등을 제대로 감지하는 솔루션을 기기에 설치하는 등 안전 조치를 취할 것을 권고했다.