중국 하이테크 기업인 바이두가 만든 안드로이드 앱 2종에 사용자에 대한 민감한 정보를 수집하는 코드를 포함한 것으로 캘리포니아주 산타클라라에 본사를 둔 사이버 보안 기업 팔로알토네트웍스 글로벌 위협 인텔리전스팀인 유닛42(Unit 42) 보고서를 통해 밝혀졌다. 구글은 이 보고에 따라 조사를 실시해 10월 28일 앱 2개를 구글플레이에서 삭제했다.
모바일앱이 데이터를 수집하고 해당 데이터가 외부로 유출되는 건 자주 있는 문제지만 유출 데이터는 사용자 프라이버시를 침해하고 사이버 범죄자 공격에 이용될 수 있다. 유닛42 연구팀은 기계학습 기반 스파이웨어 탐지 시스템을 이용한 조사를 통해 중요한 데이터를 노출할 수 있는 여러 안드로이드 앱이 구글플레이에 있는 것을 밝혀냈다고 한다.
연구팀이 보고한 데이터를 유출시킬 위험이 있는 안드로이드 앱에는 바이두가 만든 검색 앱인 바이두 서치 박스(Baidu Search Box), 지도 앱인 바이두 맵(Baidu Maps)이 포함되어 있다. 이 앱은 600만 회 이상 다운로드됐으며 그 중에는 사용자가 단말을 바꿔도 계속 추적되는 중요한 정보도 앱에서 수집된 것으로 보고되고 있다.
안드로이드 앱이 수집하는 경우가 많다. 수집 정보로는 휴대전화 모델, 휴대전화 맥 주소, 통신사, 네트워크, 안드로이드 ID, IMSI, IMEI 등이 있다. 이 중 화면 해상도 등은 사이버 범죄자에 알려져도 거의 무해하지만 휴대전화 사용자에게 할당된 고유 식별 번호인 IMSI, 휴대폰과 위성 전화에 할당된 식별번호 IMEI 등 다양한 같은 쓰임새가 있다.
예를 들어 보통 SIM카드에 연결된 IMSI를 이용하면 단말을 바꾸고 전화번호를 재취득한 경우에도 사용자를 식별, 추적할 수 있게 된다. 또 IMEI를 이용하면 업체에 전화가 도난당했다고 얘기하고 휴대전화를 비활성화해 네트워크에 대한 액세스를 차단시킬 수 있다. 이런 정보는 사이버 범죄자에게 이익이 크기 때문에 다양한 방법으로 악용될 수 있다.
구글은 안드로이드 앱 개발자에 기록한 고유 식별자 모범 사례에서도 IMSI와 IMEI 등 고유 식별자 기밀성에 대해 강조되고 식별자가 필요한 경우에는 다른 것을 이용하도록 추천되고 있다. 하지만 유닛42 연구자가 소프이웨어 탐지 시스템에선 구글플레이 안드로이드 앱을 조사한 결과 바이두 서치 박스와 바이두 맵에 사용되는 푸시 알림용 소프트웨어 개발키트 SDK에 IMSI와 맥 주소 등 중요한 사용자 데이터를 수집하는 코드가 발견된 것. 그 밖에 3D 인테리어를 배치하는 홈스타일러(Homestyler) 같은 앱 등에도 비슷한 문제가 있는 걸 발견했다고 연구팀은 말했다.
응용 프로그램이 이런 정보를 수집하는 것 자체는 안드로이드 애플리케이션 정책에 위반되는 건 아니고 어디까지나 권장되지 않는 정도에 그치지만 연구팀은 이 문제를 구글 안드로이드팀에 통보했다. 이후 구글은 바이두 앱에 대한 추가 조사를 실시해 연구원이 보고한 것 외에 위반이 발견되어 2020년 10월 28일자로 앱 2개를 삭제했다.
바이두 측은 유닛42 보고에 따라 구글이 검토를 했지만 사용자 데이터 수집 자체는 구글 승인을 얻어 이전부터 하던 것으로 이번 앱 삭제 이유와는 관계가 없다고 설명했다. 바이두는 앱 문제를 개선하기 위해 노력하고 있으며 바이두 서치 박스는 11월 19일 문제를 해결한 버전을 재출시했다. 바이두 맵 역시 앞으로 구글에 지적된 문제를 수정하고 다시 선보일 예정이라고 한다.
앱이 수집된 데이터가 건전한 목적으로만 사용되며 외부로 유출되지 않는다면 여기까지 심각한 문제가 되지 않는다. 하지만 연구자가 안드로이드 악성코드를 분석한 결과 일부 악성코드는 바이두 서치박스와 바이두 맵에 사용되는 SDK를 이용해 디바이스 데이터를 추출, 전송하는걸 알 수 있었다고 한다. 비록 합법적 목적으로 개발된 앱에도 보안 문제가 있으면 악의적인 사이버 범죄자에게 퍼질 가능성이 있기 때문에 안드로이드 앱 개발자는 구글이 권장하는 모범 사례에 따라 데이터를 제대로 수집해야 한다고 연구팀은 주장하고 있다. 관련 내용은 이곳에서 확인할 수 있다.