보안 취약한 중국 앱, 복제 심각 '나 몰래 새는 돈' 주의보

[산업일보]
기업의 보안 의식이 낮아지면, 소비자가 피해를 볼 수 밖에 없다. 최근 중국에서 모바일 애플리케이션(APP)을 복제해 이용자의 개인 정보를 수집, 불법적으로 이용하거나 심지어 모바일 결제 앱에서 이용자의 돈을 빼가는 사건이 발생해 문제가 되고 있다.

봉황망코리아 차이나포커스는 한 보안 업체의 말을 인용, 이용자가 스마트폰에서 어떤 인터넷 사이트를 열었을 때 평범한 ‘훙바오 빼앗기(抢红包∙모바일 앱 상에서 사람들이 무작위로 돈을 나눠주는 행사)’ 페이지가 나타나며 훙바오 버튼을 실제 눌렀는지 여부와 관계없이 이용자 휴대전화의 앱은 이미 다른 스마트폰에 복제될 수 있다는 사실을 전했다. 심지어 이용자 모바일 결제 앱의 아이디와 비밀번호까지 노출돼 알리페이나 위챗페이에 있는 돈을 절취할 수 있다고 설명했다.

지난해 12월 7일 텐센트는 27개의 앱이 복제될 가능성이 있음을 확인, 이를 국가정보안전공유플랫폼에 보고했다. 국가정보안전공유플랫폼은 3일 뒤인 10일 해당 앱 개발업체에게 보안 수준을 높일 것을 지시했다.

지시를 받은 알리페이∙바이두와이마이(百度外卖)∙궈메이(国美) 등 대부분의 기업은 보안 시스템을 개선하기 시작했다고 피드백을 보냈다. 반면 징둥다오자(京东到家)∙어러머(饿了么)∙쥐메이유핀(聚美优品)∙더우반(豆瓣)∙이처(易车)∙테유훠처퍄오(铁友火车票)∙후푸(虎扑)∙웨이뎬(微店) 등 10개 기업은 한 달 후인 1월 8일까지도 아무런 응답이 없는 상태다.

텐센트 측도 본격적인 조사에 나섰다. 텐센트안전현무실험실의 책임자 위양(于旸)은 "안드로이드 기반 앱의 대다수는 이러한 ‘앱 복제’ 위험에 노출돼 있다”며 "시중에 나온 200개의 앱 중 10%가 넘는 27개가 복제될 가능성이 높았다”고 설명했다.

앱 복제는 과거 전 세계로 확산됐던 트로이목마 바이러스와 달리 이용자가 소프트웨어, 앱을 다운받지 않아도 공격 당할 수 있다는 점에서 사람들을 불안케 한다. 위양은 "트로이목마 바이러스를 강도가 당신의 집에 침입하기 위해 도어락을 부숴 버리는 방식이라고 본다면 앱 복제는 집 열쇠를 복제해 당신 몰래 드나드는 것과 같다”고 비유했다. 현재까지 앱 복제는 안드로이드 운영체제에서만 가능한 것으로 알려져 있다.

위양은 지난 9일 오전 알리페이∙어러머∙샤오미성훠(小米生活)∙wifi완넝야오스(万能钥匙) 등 11개 앱이 강화된 보안 시스템을 구축했지만 중국아마존∙카뉴신용관자(卡牛信用管家)∙이뎬즈쉰(一点资讯) 등 3곳에서는 업그레이드 작업이 아직 진행 중이라고 보고했다.

앱 복제가 발생하는 가장 큰 원인은 중국 앱 개발업체의 보안 의식 부족이라는 게 위양의 설명이다. 그는 "해외 앱 개발자들의 보안 문제에 대한 우려와 경계와 국내보다 훨씬 높다”며 "정부가 적극 나서 앱 보안 대책을 세워야 하며 개발자들도 낙후된 보안 시스템에 따른 피해 현황에 더욱 민감하게 반응해야 한다”고 촉구했다.