[포켓몬고 신드롬]해커가 꼬집어 준 '포켓몬 고(GO)' 보안 취약점 3가지

AR게임은 기본적으로 개인정보를 제공하는 형태
게임 몰입도가 보안의 맹점으로 작용할 수 있어
인터넷에 떠도는 설치 파일에 악성코드 있을 가능성 높아

[아시아경제 이민우 기자] '포켓몬 고(GO)'가 폭발적인 인기를 끌고 있는 가운데 증강현실(AR) 기반 게임이 보안에 취약하다는 지적이 제기됐다.

18일 게임 및 보안업계에 따르면 포켓몬 고와 같은 AR 게임은 이용자의 위치정보를 기반으로 운영되는 만큼 악성코드 감염에 의한 개인정보 유출 등에 각별히 유의해야 한다.

AR게임은 기본적으로 여러 개인정보를 제공하는 형태로 이뤄지는 게임이다. 현실의 영상에 게임의 영상을 덧씌우기 때문에 항상 실시간으로 영상을 찍어 데이터를 주고받는다. 이 영상으로 게임을 진행하려면 스마트폰 내의 개인 정보에 일정 부분 접근할 권한이 필요하다. 카메라, 위성 위치 정보를 확인하는 GPS, 방향과 수평을 파악하는 자이로센서에 등의 정보는 기본이다. 필요에 따라 주소록이나 소셜네트워크서비스(SNS) 등 서비스 계정에 대한 접근권한도 요구한다.

기태현 라온화이트햇센터 이사는 "포켓몬 고와 같은 AR 게임은 해커들이 효율적으로 악용하기 좋은 형태"라며 AR 게임 보안의 위험성을 지적했다.

지난 10일 미국에서 무장 강도들이 포켓몬 고 이용자들을 '가짜' 포켓스탑으로 유인해 금품을 강탈했던 사건은 위치정보 기반 AR 게임 해킹의 위험성을 보여준 대표적인 사례다. 포켓스탑은 포켓몬을 잡을 때 필요한 '몬스터 볼' 아이템을 얻을 수 있는 장소로, 주로 지역 내 명소로 설정된 경우가 많다.

전혀 새로운 게임의 등장으로 사용자들 몰입감이 높아졌다는 점도 동전의 양면처럼 보안의 취약점으로 작용한다. 너무 몰입한 나머지 평소보다 보안에 대한 경각심이 옅어질 수 있기 때문이다. 게임을 한창 진행하는 중에는 팝업창에 어떤 메시지가 뜨는지 제대로 확인하지 않고 넘기는 경향이 있는데, 해커들은 사용자들의 이런 경향을 악성코드 유포에 적절히 활용한다.

포켓몬 고가 한국에 정식 출시되지 않은 것도 또 다른 보안 취약점이다. 아이폰으로는 미국 계정의 앱스토어에서 정식 버전을 받을 수 있지만, 안드로이드용 스마트폰에서는 정식으로 내려 받을 수 있는 방법이 없어 인터넷에 떠도는 설치 파일을 받아야 한다.

이런 설치파일은 악성코드를 심는 해커들에겐 좋은 수단이다. 최근 유행하는 랜섬웨어와 결합하면 피해가 커질 수 있는 데다, 정식 설치 파일이 아니기 때문에 피해를 입어도 회사 측에 보상을 요구할 수 없기 때문에 유의해야 한다.

기 이사는 "검증된 파일만 설치하고 모바일 백신을 적극 활용하는 것이 중요하다"면서 "기업과 정부 측에서도 AR게임 및 위치기반 정보를 활용하는 망 자체에 대한 보안성을 확보하는 움직임도 필요할 것"이라고 조언했다.

이민우 기자 letzwin@asiae.co.kr