앱스토어와 구글플레이에서 제공되는 스마트폰 앱 수천 개에 포함된 코드가 미국 기업을 가장한 러시아 기술 기업인 푸시우시(Pushwoosh)가 개발한 것으로 나타났다. 해당 앱 일부는 미국질병예방관리센터나 미군 병사가 사용하고 있었다고 한다.
푸시우시는 푸시 알림 SDK를 개발하는 기업. 앱 개발자는 이 SDK를 이용해 사용자에게 알람을 보내고 사용자를 추적하고 프로파일링할 수 있다. 푸시우시 SDK를 내장한 앱은 8,000개 가량으로 지금까지 사용된 기기는 23억 개에 이른다.
푸시우시는 미국 기업으로 미국 규제 당국에 등록됐지만 실제로는 시베리아에 위치한 도시 노보시비르스크에 본사를 두고 있다고 한다. 푸시우시 사무소로 등록되어 있는 미국 주소를 방문하자 푸시우시 사옥은 그림자도 없고 푸시우시 창업자 친구라고 자칭하는 러시아인 집만 있었다고 한다. 이 러시아인은 창업자가 우편물을 받기 위해 주소를 빌려줬을 뿐이라고 밝혔다고 한다. 푸시우시 창업자인 맥스 코너프(Max Cornef)는 비즈니스 관계상 서류를 받기 위해 사용하기 시작했다며 사실을 인정했다.
또 푸시우시 임원이 링크드인을 이용해 영업을 한 증거도 확인됐지만 사용된 프로필은 가짜였던 게 밝혀지고 있다. 푸시우시는 기밀 정보는 수집하지 않으며 데이터를 잘못 취급했다는 증거도 없다며 데이터는 미국과 독일에 저장되며 숨기려고 한 적도 없다고 밝혔다. 하지만 한 보안 전문가는 비록 데이터를 해외에 보관해도 러시아 정보기관이 강제로 데이터에 대한 액세스를 요구하는 걸 막지 않는다고 지적하며 데이터 안전성에 의문을 제기했다.
이 보도에 따라 미국질병관리예방선터는 보안 우려로 인해 7개 응용 프로그램에서 푸시우시 SDK를 제거했다. 미 육군도 마찬가지 우려로 푸시우시 SDK 포함 앱을 제거했다. 보도에 따르면 푸시우시에 의한 정보 은닉은 법률을 위반할 수 있다는 점에서 향후 연방거래위원회와 각종 규제 당국에 의한 단속이 이뤄질 것으로 보인다. 또 소프트웨어 안전성 평가 비영리 기업인 인터넷세이프티랩스(Internet Safety Labs)가 푸시우시 SDK를 사용한 앱을 리스트업해 공개하고 있다. 관련 내용은 이곳에서 확인할 수 있다.