애플, 앱스토어 검열의 문제점

 'TEDiSUB'라는 TED앱이 있습니다. 얼마전 오류때문에 영상이 나오지 않아 업데이트를 통해 수정 되었다고 했지만, 앱이 아예 실행되지 않습니다. 안의 내용은 고사하고 실행이 안되는 겁니다. 실행이 안된다는건 검열 중 최소한 실행조차 안시켜 봤다는 것일까요?

---

애플, 앱스토어 검열의 문제점

 앱스토어의 최대 강점은 '검열을 통한 안전성 보장'이였습니다. 그래서 2010년에는 정보보호 업체인 NSHC가 안티바이러스 프로그램 개발 업체인 하우리(주)와 공동으로 ‘아이폰 전용 백신 프로그램'을 앱스토어에 등록했다 거부당하는 사태가 벌어지기도 했습니다. 검열을 통해 안정성이 보장되므로 백신은 필요없다는 것이였죠.

---

Find and Call

 러시아의 유명 보안 업체 카스퍼스키의 연구원에 의해 악성코드를 포함한 'Find and Call'이라는 앱을 찾아냈습니다. 이 앱은 애플의 앱스토어와 구글의 플레이마켓 두 곳에 등록되어있었는데, 사용자의 연락처를 수집하여 스펨메일을 발송하는 악성앱입니다. 사용하게 되면 주변인들에게 의도하지 않아도 스펨메일을 발송하게 되는 것이죠.

 Find and Call을 통해 아이폰 자체에 문제가 생기는 것은 아닙니다. iOS는 허가되지 않은 접근 자체를 모두 거부하고 있기 때문에 앱을 설치했다고 해서 악성코드에 감염되는 일은 대체로 드문게 사실입니다. 접근을 풀고 들어갈 수 있는 앱을 만들면 가능하겠지만, 어찌되었건 Find and Call은 아이폰에 영향을 주는 악성코드를 포함 한것이 아니라 앱이 스펨을 발생하는 악성코드를 가지고 있다는 것이죠. 그래서 백신과는 무관합니다.

 다만, 애플의 검열을 비껴나갔다는 것만은 분명합니다. 이렇게 악성코드를 지니고 있는 앱이 애플의 검열을 빠져나간 것은 이번이 처음입니다. 기능상의 문제로 인해 통과되었다 다시 삭제되는 경우는 있었으나, 악성코드로는 처음이라는 겁니다.

---

앱스토어 검열의 문제점

 필자가 지적하고 싶은 것은 '이제 아이폰도 악성코드에 안전하지 않다!'는 것이 아닙니다. 앱스토어의 검열 자체에 대한 문제점을 논하고 싶은겁니다.

 'iMame'라는 앱은 아이폰에서 마메에뮬로 롬파일을 업로드하기만 하면 게임을 실행시킬 수 가 있었는데, 얼마 되지 않아 애플의 정책에 반한다며 앱스토어에서 삭제되었습니다. 'FlashLaunch'는 iOS 4.x에서 사용할 수 있던 기능인 '순정sbsetting'의 설정 URL 경로를 이용해 알림바에 토글을 생성해주는 앱이였는데 이 역시 애플의 정책에 반한다며 앱스토어에서 삭제 되었습니다.

 여기서 알 수 있는 것은 애플은 사전 검열 뿐 아니라 사후 검열도 같이하고 있다는 것입니다. 그것도 사전 검열을 거치치 않은 상태로요. 'Find and Call'의 경우 연락처 찾기의 기능을 우선적으로 봤기 때문에 악성코드를 검사하지 않고 '이건 연락처 찾는 앱이구나.'하고 통과했다 치더라도 위의 두가지는 기능부터 애플의 정책에 반하는 것임에도 통과되었습니다. 사전 검열이 이루어지지 않았다는 것입니다.

 앱스토어에 앱을 등록하면 검열 후 보름 안으로 결과가 나타나게 됩니다. 그래서 앱을 등록하는데 꽤 많은 시간이 걸리게 됩니다. 바로바로 출시가 가능한 구글 플레이와는 다른 모습이죠. 그러나 하루에 수천개의 앱이 등록되는 상황에서 이를 제대로 검열하기란 어려운 일일 수 있습니다. 업데이트 되는 앱까지 합친다면 그 수는 어마어마하겠죠. 그래서인지 보름이라는 시간을 지키기 위해 몇몇 앱은 사후에 처리하도록 그냥 통과시켜 버리는 것입니다. 그 중에 'iMame'나 'FlashLaunch', 'Find and Call'도 있었다는거죠. 그리고 'Find and Call' 악성코드를 포함하고 있었던 것이고요.

 이런 일은 앱스토어의 덩치가 커지면서 더 많이 발생하고 있습니다. 실제로 사후 검열을 통해 삭제되는 모습을 예전에 비해 더 많이 볼 수 있게 되었으니까요. 도대체 사후 검색을 할거라면 사전 검색이 왜 필요한 것일까요? 더군다나 'FlashLaunch'는 유료앱이였습니다. 설정 URL을 5.0부터 사용할 수 없게되면서 'FlashLaunch'가 필요없어지게 되었는데, 이를 구입한 구매자는 어떻게 되는 것이며 이런 문제점에 대해 단지 애플 정책이라고 이야기하는 모습은 '우리가 이것저것 검열하는게 다 힘들어'라는 변명으로 밖에 들리지 않습니다.

---

검열 강화하길

 이번 악성앱은 카스퍼스키랩이 발견했는데, 카스퍼스키가 얼마전부터 맥과 iOS에 굉장히 관심을 두고 있습니다. 보안 업체이기 때문에 보안에 취약하다는 것을 벗겨야 소프트웨어를 팔 수 있기 때문인데 맥용 카스퍼스키가 있지만 애초 바이러스의 무풍지대로 꼽히는 맥이기 때문에 이를 구입하는 사람은 거의 없습니다. 다만, 계속해서 취약점을 밝혀내면서 맥사용자들도 더이상 안전지대가 아니며 꼼꼼히 점검해야한다는 목소리가 높아지고 있습니다. 이런 문제에 대해 카스퍼스키가 계속해서 예의주시하며 맥과 iOS를 점검하고 있다는 것을 알 수 있는데, 애플로써는 검열이 강화되지 않을 경우 이런 앱들이 빠져나가 보안업체의 먹잇감이 된다면 그간의 이미지에 큰 타격을 받게 됩니다.

 물론 사전 검열을 통해서 걸러지는 앱은 상단수입니다. 그에 대한 안정성은 분명 앱스토어의 강점이라는 것도 변하지 않습니다. 적어도 애플 유저들은 사전 검열 정책에 대해 앱이 늦게 올라오더라도 신뢰를 얻을 수 있기 때문에 긍정적으로 받아들입니다. 똑같은 어플리케이션이 안드로이드에 먼저 출시가 되더라도 말이죠.

 그렇다면 그에 응하기 위해서는 앱스토어의 검열을 강화할 필요가 있습니다. 이번은 한번이였지만, 이런 사건을 발판 삼아 개인 정보를 빼내려는 악의적 해커가 계속해서 앱스토어를 공격한다면 지금의 검열 상태로는 두번이 되고 세번이 될 가능성을 배제할 수 없습니다.

 사용자들의 신뢰를 무너뜨리지 않기 위해서라고 애플은 검열을 강화할 필요가 있으며, 보안뿐 아니라 기능적인 부분에 있어서도 충분한 검열을 통해 깨끗한 앱생태계를 유지할 수 있길 바랍니다.