안드로이드, 90만 개의 사기 앱

 이전과 비교하면 구글플레이의 관리가 상당히 좋아진 것은 사실입니다. 그러나 여전히 사용자는 앱을 걸러 내려받아야 하고, 그렇지 않을 때 발생할 문제들은 해결되지 않았습니다. 딱히 '신뢰할 수 있는 앱' 같은 배지를 달아두는 것도 아닌 탓에 피해 볼 수 있는 부분은 계속 도사리고 있는 셈이죠.
 

---

안드로이드, 90만 개의 사기 앱
 
 물론 iOS 앱 중에도 더미 앱이 존재하긴 합니다. 가장 유명한 것이 한국에 게임 카테고리가 열리기 전 인기 앱 상위를 기록했던 앵그리버드 치트키인데, 최근에는 이런 더미 앱에 인 앱 결제를 붙여 결제를 유도한다는 겁니다. 대신 환불을 이용하면 되지만, 환불 빈도가 높은 편이 아니므로 검열에서 걸리지 않으면 문제로 번지기도 합니다. 그럼 안드로이드의 상황을 어떨까요?
 
 

 테크스폿에 따르면, 보안 업체 트렌드마이크로는 최근 보고서를 통해 50개의 인기 무료 앱의 77%가 사기 앱이 따로 존재하며, 그 수는 89만 482개라고 밝혔습니다. 이 중 39만 4,263개는 악성 코드였으며, 5만 9,185개는 공격적인 애드웨어를 포함하고 있는 것으로 드러났습니다.
 
 재미있게도 사기 앱의 가장 일반적인 유형으로는 바이러스 백신 소프트웨어로 위장한 것으로 사용자는 해당 앱이 자신의 스마트폰을 보호해준다고 생각하지만, 실상 사기 앱이라는 겁니다.
 
 특히 지난 4월, 바이러스 쉴드(Virus Shield)라는 보안 앱이 주목받았는데, 3.99달러의 가격임에도 4.7의 평점을 받으며, 1만 회 이상 다운로드를 기록했습니다. 그러나 전혀 보안 기능을 하지 못하는 앱이었으면, 개발사인 디비언트 솔루션스(Deviant Solutions)이라는 존재하지 않는 회사로 밝혀졌습니다. 이에 구글은 바이러스 쉴드를 내려받은 사용자에 5달러짜리 쿠폰을 지급했으며, 환불 조치를 진행했습니다.
 
 중요한 건 비슷한 앱이 여전히 구글 플레이에 90만 개가 존재한다는 것입니다. 이제 와서 구글이 이를 전부 잘라내긴 쉽지 않은 일이며, 바이러스 쉴드처럼 대규모 피해가 발생하지 않는 한, 적절한 보상이 사용자에 돌아가는 일이 자주 일어나진 않을 겁니다.
 
 

 사기 앱을 판별하는 방법은 꽤 많습니다. 먼저 평점이나 리뷰를 확인하는 것인데, 바이러스 쉴드 사건을 보면 이조차 완전히 신뢰할 수 있는 것이 아니라는 걸 알 수 있습니다. 다음은 개발사를 확인하는 것인데, 해당 개발사가 개발한 또다른 앱이 어떤 것이 있는지 확인해야 하고, 해당 개발사 홈페이지를 방문하여 제대로 된 개발사인지 확인이 필요합니다. 덧붙여 해당 앱을 설명한 자료가 있다면 훑어보는 것이 좋겠죠.
 
 다만, 바이러스 쉴드를 보면 보안 엡은 사용자가 확인하는 방법은 없다시피 합니다. '방화벽 작동 중'처럼 문구만 보여주는 것으로도 작동하고 있음을 설명할 수 있고, 이를 확인할 방법은 실제 악성 코드가 침입했을 때인데, 그동안은 판단하는 방법이 없으니 속을 수밖에 없죠.
 
 애초 사기 앱은 속이기 위한 앱이므로 사용자가 완전히 사기 앱임을 판별할 순 없습니다. 위에서 언급한 방법도 더미 사이트와 더미 앱을 갖춘다면 좀 더 교묘한 사기 앱 유통이 가능해질 테니까요. 오히려 필자가 강조하고 싶은 건 사용하는 앱이 어떤 앱인지 꾸준히 확인하는 것과 사기 앱임이 판별되었다면 신고를 통해 또 다른 피해를 방지할 여지를 쥐여주는 것입니다. 그게 더 중요합니다.
 
 구글이 사기 앱을 잘라내는 만큼 그 수도 늘어나고 있습니다. 그중에는 구글이 확인을 하지 못하고 넘겨버리는 일도 발생하는 데, 이를 위해 마련한 것이 신고 기능입니다. 실상 많이 사용되는 일이 없긴 하지만, 그나마 사기 앱 처리와 함께 해당 앱에서 발생한 피해를 구글에 언급하여 보상받을 제대로 된 방법입니다.
 
 그러나 이조차도 완전히 사기 앱을 대처하는 방법은 아니며, 지난 6월에는 중국 보안 업체인 치타 모바일(Cheetah Mobile)이 은행 앱을 베낀 사기 앱이 국내에 유통되고 있다고 밝혔습니다. 이 악성코드는 전혀 다른 앱을 통해 설치되어 해당 스마트폰에 설치된 공식 은행 앱을 찾아 삭제하고, 사기 앱으로 대체합니다. 이후 사용자가 뱅킹을 이용하려 할 때, 계정과 비밀번호, 계좌번호나 공인인증서 비밀번호를 요구하는 등 정보를 탈취합니다.
 
 이처럼 수법이 고도화하고 있다는 점을 인식해야 하며, 그만큼 개인에 요구되는 보안 수준도 높아지고 있음을 사용자가 이해할 수 있어야 합니다.
 
 

 구글도 이 문제를 해결하려는 방안을 제시해야겠지만, 더불어 성장해야 하는 건 사용자의 보안 인식 수준입니다. 앞서 얘기했듯 보안 수준이 높아지더라도 사기 앱 자체가 처음부터 속이기 위한 앱임으로 사용자로서 완전히 대처하지 못할 수 있습니다. 그 역할은 구글이 해야 하는 거지만, 그만큼 그 역할에 대해서도 이해할 수 있어야만 개인이 할 수 있는 대처도 가능해진다는 겁니다.
 
 특히 본문에 설명한 사기 앱은 인기 앱을 베낀 앱으로 그 밖의 악성 앱까지 포함했을 때 수는 더 큽니다. 단지 해당 사기 앱은 사용자가 걸려들기 쉽다는 점과 장난이었다는 식으로 대수롭지 않게 넘겨버리는 일이 많다는 점인데, 이런 점에 경각심이 필요한 시점입니다.
 
 트렌드마이크로는 바이러스 쉴드를 두고, '이 앱이 왜 인기 앱에 올랐는지 이해하기 어렵다.'고 말했습니다.