[IT동아 차주경 기자] 몇몇 스마트폰 앱은 회원 가입을 페이스북, 인스타그램 등 SNS 로그인 정보로 대신한다. 그런데, 일부 스마트폰 앱의 SNS 로그인에 트로이 목마(정상인 것처럼 보이는 앱에 교묘하게 숨겨진 해킹 프로그램)가 숨겨진 사실이 드러났다. 보안 업계는 트로이 목마나 악성 코드를 숨긴 앱을 공개하고 경고하는 한편, 피해를 막을 방법을 제시한다.

프랑스 보안 기업 프라데오(Pradeo)는 구글 플레이스토어에 등록된 한 스마트폰 앱에 사용자 정보를 훔치는 악성 코드가 발견됐다며, 이 앱을 설치한 사람들에게 바로 앱을 삭제하고 스마트폰을 초기화한 후 개인·금융 정보를 점검하라고 경고했다. 구글도 이 스마트폰 앱을 즉시 플레이스토어에서 제거했다.

그 스마트폰 앱은 ‘Craftsart Cartoon Photo Tools’다. 인공지능을 써서 사진을 그림이나 만화 등 회화체로 바꿔주는 앱이다. 이 앱을 실행하면 페이스북 간편 로그인을 해야 한다며 사용자 이름과 페이스북 비밀번호를 입력하도록 유도한다. 사용자가 이를 허용하면 이메일과 페이스북 비밀번호는 물론 검색 이력, 신용 카드 데이터 등 민감한 개인 정보가 러시아의 한 서버로 전송된다.

이 스마트폰 앱은 지금까지 세계에서 10만 명 이상이 다운로드한 것으로 나타났다. 프라데오는 이 앱이 약 7년 동안 이름을 바꿔가며 다른 악성 앱과 함께 사용자의 정보를 훔쳤다고 밝혔다.

구글은 트로이 목마와 악성 코드의 피해를 막으려고, 앱 설치 전 안전 검사를 실행하고 유해한 앱을 확인하는 안전 장치 '구글 플레이 프로텍트'를 플레이스토어에 적용했다. 하지만, 이 앱을 포함한 일부 트로이 목마는 구글 플레이 프로텍트를 회피하는 특수한 코드를 가진 것으로 알려졌다. 구글 플레이 프로텍트가 트로이 목마와 악성 코드를 탑재한 앱을 감지해도, 정작 사용자가 이를 무시하고 앱을 설치하라고 지시하면 피해를 입는다.

프라데오를 포함한 보안 업계는 이처럼 교모한 트로이 목마 앱이 수시로, 꾸준히 발견되므로 사용자가 주의해야 한다고 강조한다.

우선 앱을 설치하기 전에 개발자의 정보와 사용자 리뷰를 살펴봐야 한다. 이름이 거의 알려지지 않았거나, 앱 개발 이력이 없으면서 정보도 불분명한 개인 개발자가 만든 앱은 경계해야 한다. 별점을 포함한 리뷰도 잘 살펴봐야 한다. 실제로 Craftsart Cartoon Photo Tools 앱 리뷰에는 많은 사람들이 ‘앱이 가짜로 보인다’, ‘정상 동작하지 않고 광고만 나온다’며 별점 5점 만점에 1점을 줬다.

다른 앱과 아이콘과 화면, 성능이 비슷하면서 이름만 조금 다른 유사 앱도 경계 대상이다. 앱은 구글 플레이스토어에서만 다운로드하고, APK 파일 형태로 배포되는 앱은 설치하지 않는 것이 좋다. 대개 이런 트로이 목마 앱은 설치할 때 거부감을 줄이려 ‘배터리 성능 향상’이나 ‘스마트폰 최적화와 공간 확보’를 앞세우는 경우가 많다. 무엇보다, 앞서 언급한 SNS 로그인을 남용하면 안된다고 보안 업계는 당부했다.

글 / IT동아 차주경(racingcar@itdonga.com)