일본 블로그 미디어인 아이티미디어는 앱 스토어 등에서 내려받아 설치하는 수많은 스마트폰 어플 중에서 개인정보 등을 외부 서버로 부정 유출하는 등의 악의적인 수법을 쓴 앱이 등장했다고 밝혔다. 이어서 일본 정보처리진흥사업협회(IPA)가 부정 어플에 대한 독자적인 해석 결과를 내놓고 주의를 당부했다고 이어서 보도했다.

 

이번 부정 어플에 관한 문제는 인기 게임이나 애니메이션 등의 이름에 ‘The Movie’라는 제목을 단 안드로이드 어플이 구글 플레이에 등록되면서 발생했다. 스토어 상에는 동영상 감상 어플로 소개되었지만, 실제 단말기에 보존된 전화번호 등의 개인정보를 외부 서버로 마음대로 유출했다. IPA나 보안 기업 조사에서 30종 이상이 공개되었으며, 총 7만 건 이상 다운로드되었다고 한다. 전화번호부에 등록된 유저의 지인 개인정보까지 포함하면, 유출된 전화번호 규모는 총 수백만 건에 이를 가능성이 있다. 해당 어플은 공식 스토어에서 삭제되었다.

 

이번 부정 어플 유포 사건에 대해서 IPA는 부정 어플 중 하나를 설치하면서 실제로 부정 어플이 어떻게 작동하는지 스마트폰으로 검증했다. 우선 부정 어플을 공식 스토어에서 다운로드 받아 설치할 때에 어플이 필요한 권한 확인 화면이 표시된다. 확인 화면에서 ‘동의한 후 다운로드 -> 인스톨’ 버튼을 누르면, 표시된 권한을 유저가 허가한 것으로 인식, 설치된다.

 

설치한 후 해당 어플은 안드로이드 아이디(단말기의 식별자)를 통해서 단말기 내 전화번호를 특정 서버로 송신한다. 송신에 성공하면 다음은 전화번호부에 등록된 이름, 전화번호, 메일 주소를 차례로 송신한다. 모든 동작을 마친 후에는 스토어에서 소개한 대로 동영상 시청 기능으로 실행된다.

 

IPA에 따르면 이번 부정 어플 외에도 원클릭 사기나 단말기를 외부에서 부정 조작할 수 있는 ‘보트’, 특정 국가에서만 통화 발신이나 메일, 메시지 송신을 실시하는 등의 부정 어필이 존재한다고 발혔다.

 

IPA가 추천하는 스마트폰의 기본적인 보안 대책은 다음과 같다.
1. 스마트폰을 업데이트한다
2. 스마트폰을 개조하지 않는다(루팅, 탈옥 등)
3. 신뢰할 수 있는 장소로부터 어플을 설치한다.
4. 안드로이드 단말기에서는 어플을 설치하기 전 액세스 허가를 확인한다.
5. 보안 소프트웨어를 도입한다.
6. 스마트폰을 작은 PC라고 생각하면서 관리한다.

 

또한 어플을 설치하기 전에 어플의 정보를 수집하는 것도 포인트. 사용자가 어플에 관한 리뷰를 게재할 수 있는 스토어에서는 나쁜 평은 없는지, 어플 개발자가 그 밖에 공개한 어플에 대한 나쁜 평이 얼마나 되는지, 개발자나 어플명을 인터넷에서 검색해 나쁜 평이 없는지를 확인한 후 설치를 고려해야 한다고 밝혔다.

베타뉴스 우예진 기자 (w9502@betanews.net)
Copyrights ⓒ BetaNews.net

• • 목록
  • 위로