이석원 기자
보안 기업 ESET가 구글 플레이에서 올해만 1,200만 회 이상 다운로드된 악의적 대출 앱인 스파이론(SpyLoan) 존재에 대해 지적하고 있다. ESET에 따르면 스파이론은 구글플레이 뿐 아니라 타사 앱스토어와 웹사이트를 통해서도 배포되어 실제 다운로드 수는 더 많을 것으로 보인다.
스파이론은 설치된 안드로이드 기기 모든 계정 목록, 기기 정보, 통화 기록, 설치된 앱, 캘린더 일정, 로컬 와이파이 네트워크 세부 정보, 이미지 메타 데이터 등 개인 정보를 기기에서 훔친다. ESET은 데이터 유출 위험이 연락처, 위치 정보, 문자 메시지까지 미친다고 우려했다.
스파이론은 자금에 빠르고 쉬운 접근을 약속하는 개인 대출을 위한 합법적인 금융 서비스를 갖춘 대출 앱이라고 밝히고 있지만 실제로는 사용자를 속여 고리 지불을 받아들이게 하고 이후 위협 액터는 피해를 협박해 돈 지불을 강요하고 있다고 한다.
구글플레이에서 악성코드 박멸을 목표로 한 앱디펜스얼라이언스(App Defense Alliance) 멤버이기도 한 ESET은 2023년 초부터 18개 이상 스파이론을 발견해왔다고 보고했다. 구글은 ESET 보고에 대응해 지금까지 17종류 스파이론을 삭제해왔지만 하나는 다른 권한과 기능 세트로 되살아나 스파이론으로 검출되지 않게 됐다고 한다.
2020년 앱스토어와 구글플레이에서 사용할 수 있던 스파이론 중 하나는 구글플레이에서 500만 회 이상 다운로드됐으며 앱 평가 점수도 4.7점으로 높았다. 스파이론이 처음 확인된 건 2020년이지만 실제로 널리 보급되게 된 건 2022년부터라고 한다. ESET에 따르면 스파이론은 사기성 웹사이트나 타사 앱스토어, 구글플레이상에서 배포되고 있다. ESET 데이터에 따르면 스파이론 탐지 수는 2023년 중 증가하고 있다.
스파이론이 겨냥한 국가는 멕시코, 인도, 태국, 인도네시아, 나이지리아, 필리핀, 이집트, 베트남, 싱가포르, 케냐, 콜롬비아, 페루 등이다. 스파이론은 구글플레이에서 배포되기 위해 구글 개인정보취급방침을 준수하는 척하고 있다. 스파이론은 종종 정규 기업 사이트를 모방한 웹사이트를 만들고 거짓 신뢰성을 연출하기 위해 직원과 사무실 사진을 날조하기도 한다.
스파이론은 개인 대출 기간을 일방적으로 단축하고 사용자가 따르지 않으면 조롱이나 노출 같은 방법으로 협박한다고 한다. 따라서 구글 금융 서비스 정책을 명확하게 위반한다는 지적이다. 또 스파이론 프라이버시 정책 내용은 기만적이며 위험한 허가를 얻기 위해 정당한 듯한 이유를 제시하고 있다는 것이다.
예를 들어 고객 정보를 확인하기 위해 사진 업로드를 요청한 뒤 카메라 앱에 대한 액세스 권한을 요청하거나 지불 날짜를 알리기 위해 캘린더 앱에 대한 액세스 권한을 요청하지만 번거롭다고 지적하고 있다. 더구나 스파이론은 통화 기록이나 연락처에 대한 액세스 등 전혀 필요 없는 권한을 요구하는 경우도 있다고 한다. 이런 권한은 사용자가 부당한 결제 요청을 받았을 때 공갈에 이용된다고 한다.
스파이론에 대해 ESET 측은 스파이론 앱은 기술적으로 구글 개인정보취급방침 요구 사항을 충족하지만 실제로 수행하는 건 금융 서비스 제공과 KYC은행 기준 준수에 필요한 데이터 수집 범위를 밝혀 이 앱의 진정한 목적은 앱 사용자를 감시하고 사용자와 해당 연락처를 괴롭히거나 협박하는 것이라고 지적하고 있다.
스파이론 위협으로부터 자신을 보호하는 최선의 방법은 적절한 금융 기관만 신뢰하고 새로운 앱을 설치할 때 필요한 권한 유형을 확인하며 사기성 앱이 많은 구글플레이에서 앱을 설치한다면 사용자 리뷰를 꼼꼼하게 확인하는 것이다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이원영 기자
