악이 되지 말자던 구글, 악성앱 유포자로 전락

이용자 보안 위험 심각에도 자사 시스템 강요 수수료 챙겨

[아시아경제 김철현 기자] 구글이 악성 애플리케이션(이하 앱) 유포자로 전락했다. 구글 플레이 스토어를 통해 악성 앱이 유통되는 사례가 지속적으로 발견되는 것이다. 이런 가운데 국내 업체들의 앱에 자사 결제 시스템만을 사용하도록 강요해 빈축을 사고 있다. 악성 앱이 넘쳐나는 생태계를 정화하려는 노력보다는 수익 추구에만 골몰하고 있다는 지적이다. '악이 되지 말자(Don't be evil)'는 구글의 창업 정신도 무색해졌다.

21일 관련 업계에 따르면 최근 구글의 정식 앱 마켓인 플레이 스토어를 통해 '어덜트 온리' '파운드앤콜' 등 개인 정보를 빼돌리는 악성 앱이 유통됐다. 구글이 내놓은 보안 강화 대책도 실효성이 떨어져 2000만명에 달하는 국내 안드로이드폰 사용자가 악성 앱에 무방비로 노출된 상태다.

보안 업계는 지난해 말부터 최근까지 구글 플레이 스토어에서 버젓이 유통된 악성 앱이 발견된 것만 10여종이 넘는다고 관측한다. 올 들어 스마트폰의 개인정보를 빼돌리는 '어덜트 온리'라는 이름의 악성 앱이 발견됐고 이 앱의 제작자는 2개의 다른 악성 앱도 버젓이 플레이 스토어에 등록했다. 보안 프로그램인 V3를 사칭한 악성 앱도 등장했는데 이 앱을 만든 리드팀(Lead Team)이라는 업체는 전화번호부 등을 유출시키는 것으로 확인됐다.

지난 해 말에는 '파운드앤콜'이라는 앱이 사용자 몰래 연락처 데이터와 위치 정보 등을 빼돌렸다. STECH이라는 개발자가 제작한 3개의 앱도 플레이 스토어에서 다운로드 받을 수 있었는데 실행과 동시에 전화번호, 문자메시지 내용, 통신사 정보 등을 특정 인터넷 주소로 전송했다. 이 앱들은 현재 구글 플레이 스토어에서 삭제됐지만 이미 상당수의 다운로드가 이뤄진 뒤였다.

업계 관계자는 "비교적 등록이 쉽다는 점을 노려 주로 비공식 마켓에서 유통되던 악성 앱이 대거 구글 플레이 스토어로 활동 무대를 옮기고 있는 것으로 보인다"고 설명했다. 심지어 100만 다운로드 이상을 기록한 악성 앱도 있다는 것이 보안 업계의 지적이다. 사용자들은 공식 마켓인 플레이 스토어를 믿고 앱을 다운로드 받지만 허술한 관리 때문에 악성 앱을 내려 받을 위험에 늘 노출되고 있는 셈이다.

구글도 대책을 강화하고 있지만 실효성이 떨어진다. 지난해 2월에는 플레이 스토어에 악성 앱을 자동으로 찾아내는 '바운서' 기능을 도입했고 최신 운영체제인 안드로이드 4.2부터는 사용자가 다운로드 받을 때 악성 앱 여부를 진단할 수 있는 '앱 확인' 기능도 적용했다. 하지만 바운서 도입 후에도 악성 앱의 유통은 끊이지 않았고 안드로이드 4.2는 현재 일부 단말기에만 적용돼 대다수의 사용자들은 여전히 무방비 상태다. 게다가 이 보안 기능들이 악성코드의 15% 정도 밖에 탐지하지 못한다는 연구 결과도 있었다.

이런 상황에서 구글은 플레이 스토어에서 거래되는 국내 업체들의 앱에 자사 결제 시스템만을 사용하도록 강요해 빈축을 사고 있다. 기존에는 외부 결제 시스템을 허용했지만 최근 방침을 바꾼 것이다. 이렇게 되면 구글에 30% 수수료를 물어야 한다. 업계 관계자는 "플레이 스토어의 허술한 관리 때문에 사용자들이 심각한 보안 위험에 노출되고 있는 상황이지만 구글은 자사 결제 시스템만을 강요하는 등 갈수록 횡포가 심해지고 있다"며 "악이 되지 말자는 구글의 창업 정신은 이미 훼손된지 오래"라고 꼬집었다.

김철현 기자 kch@