"애플 앱스토어에 '불량' 앱 넣기 실험 성공했다"

[아시아경제 김영식 기자]'철옹성'으로 불리는 애플 앱스토어에도 약점이 있었다. 미국 조지아공과대학교 연구진이 애플의 앱스토어의 허가 절차를 뚫고 맬웨어가 담긴 애플리케이션을 등록하는 데 성공했다고 하버드 테크놀로지 리뷰 등 외신이 17일 보도했다.

애플은 앱스토어에 등록 신청하는 모든 앱을 철저히 검수하는 것으로 유명하다. 또 iOS는 '탈옥'한 상태가 아니라면 모든 애플리케이션을 앱스토어를 통해서만 내려받도록 돼 있다. 때문에 개방형 운영체제인 구글 안드로이드에 비해 훨씬 안전하다는 평가를 받아 왔다. 스팸문자로 전달되는 악성 앱 설치는 애플 기기에서는 일어나지 않는다.

실험을 위해 '조지아 테크 뉴스'란 이름으로 위장한 앱에 특정 코드와 함께 설치될 경우 사용자의 문자메시지·사진·기기 고유번호 등을 훔칠 수 있는 맬웨어를 심어 놓았고, 이 앱을 등록 신청했다. 실험에서 애플 측은 이 '가짜' 앱의 등록을 허가했고, 연구진은 등록된 지 몇 분만에 다시 앱을 내려 혹시 모를 피해자를 방지했다.

조지아공대 연구진은 "실험 결과 애플의 해당 담당자들이 등록 신청된 앱을 충분한 시간을 두고 검사하지 않는 듯 하다"는 결론을 냈다. 애플의 앱 검사 절차가 대부분 정적 분석에 바탕을 두고 있으며, 쉽게 찾을 수 없는 복잡한 논리식을 집어넣은 경우까지 식별해 내기에는 불충분하다는 것이다.

이 실험은 지난 3월에 이뤄졌으며, 최근 개막한 컴퓨터시스템 분야 세계 최고 권위의 학술단체 'USENIX'의 보안 심포지움에서 보고서로 공개됐다.

김영식 기자 grad@asiae.co.kr