[뉴시안=최성욱 기자] 아무도 생각지 못한 가짜앱이 안드로이드 마켓의 보안을 의심케 하는 일이 발생했다. 지난 4일 덴마크의 보안 전문업체 CSIS 시큐티리는 'Updates for Samsung'이라는 앱이 사실상 고객을 속이는 앱이지만 무려 1천만 다운로드를 기록했다며 구글에 삭제를 요청한 사실을 밝혔다.

이 앱은 삼성 갤럭시 폰의 펌웨어를 검색하며 새로운 OS를 업데이트하는데 있어 편리하게 도와준다고 광고하고 있다. 하지만 이를 다운받아 설치하면 악성 코드를 설치하고, 다운로드 속도가 예전 전화선을 사용한 모뎀 시절의 속도로 느리게 다운하는 기능만을 제공한다.

그러면서 속도를 높이고 싶으면 유료 서비스를 결제하라는 방식으로 고객을 유도하지만 이는 일반적인 구글 결제 방식이 아니라며 일반 웹 페이지에서 결제가 진행되기 때문에 신용카드 번호를 입력할 경우 2차 문제가 발생할 수도 있다. 

이같은 사실이 구글측이 아닌 덴마크 보안업체에 의해 알려졌다는 것은 많은 사용자들에게 충격을 주었다. 구글 플레이 앱 마켓은 사용자들이 앱 성능에 대해 평가하는 방식인데 이 가짜앱은 실질적으로 아무런 기능도 제공하지 않지만 별점은 5점 만점에 4.5를 기록했다. 사실상 별점 평가가 무의미하다는 것은 물론 구글 플레이 앱스토어가 제대로 관리되고 있는가에 대한 의문점을 불러 일으켰다.

애플은 지나치다 싶을 정도로 보안에 집착하고 있다. 예컨대 은행 거래를 위해 공인인증서를 다운 받으려는 경우 안드로이드는 한 은행에서 받은 공인인증서를 다른 은행앱에서도 편리하게 사용할 수 있다. 물론 공인인증서만 공유할 뿐 인증과정은 개별적으로 거쳐야 한다.

그러나 애플은 A은행에서 공인인증서를 받았더라도 B은행 앱에서 다시 공인인증서를 요구하는 경우 다시 받아야 한다. 만약 은행앱을 5개 사용한다면 폰에는 똑같은 공인인증서가 5개 설치되어 있는 셈이다. 때문에 초기에는 공간 낭비이며 이런 식의 지나친 보안은 사용자의 불편만 가중할 뿐이라는 지적이 있었다.

이런 지적에 대해 애플은 '샌드박스(Sandbox)' 방식으로 각 앱 마다 독자 영역을 두어 관리하는 방식은 다소 번거롭기는 하지만 보안에 관한 한 가장 안전한 방식이기에 이를 고수할 수 밖에 없다고 이야기해 왔다. 사실 이런 지적은 지금처럼 보안구멍에 대한 문제가 많이 드러나지 않던 10년전부터 진행되어온 것으로 지금은 '안드로이드폰에서도 보안을 위해 샌드박스를 도입할 필요가 있다'는 지적이 나오고 있다.

그럼에도 불구하고 구글은 이 부분은 업체측이 알아서 할 일이며 소비자의 선택을 제한한다는 입장을 지키고 있다. 삼성전자는 이같은 보안 문제를 해결하기 위해 자체 보안기능인 '녹스(Knox)'를 통해 보안을 강화하고 있고, 블랙베리는 자체 보안 앱을 폰 업체에 공급하고 있기도 하다.

이러한 보안상의 헛점을 보완하려면 구글이 플레이 스토어에 올라온 앱을 평가해서 승인하는 과정을 강화해야 했는데 이번  'Updates for Samsung'은 미처 발견하지 못한 것으로 보인다. 삼성전자 또한 자사의 스마트폰 펌웨어 업데이트 앱이 올라와 았고 1천만 다운로드를 기록했는데 전혀 이같은 사실을 인지하지 못한 것으로 보인다.

비온뒤 땅이 굳는다고 이번 일은 해프닝으로 끝났지만, 만약 전문 해커가 이같은 형태의 앱을 만들고 폰 자체에 악성코드를 심었다면 파장은 이정도로 끝나지 않았을 것이다. 전세계적으로 갤럭시 스마트폰을 사용하는 이들이 악몽을 겪을 수도 있었다는 점에서 앱 마켓을 운영하는 구글은 구글대로, 또 삼성전자는 자사 브랜드의 이미지를 지킨다는 점에서 관리감독을 보강해야 할 것이다.