신나게 게임을 즐길 요량으로 앱을 설치했지만 그후 수시로 문자결제사기(스미싱) 문자가 오거나 설치한 앱이 갑자기 사라지곤 했다. A씨 이름으로 지인들에게 스미싱 문자가 발송되기도 했다. A씨 스마트폰에 무슨 일이 일어난 걸까.
3일 정보보안 기업 안랩[053800]과 보안 업계에 따르면 인기 앱으로 가장해 이용자 스마트폰 정보를 조작, 악용하고 악성 광고 앱을 설치하는 신종 사기 수법이 유행이다.
가짜 앱은 주로 '캔디 크러시 사가'나 '건 모바일' 같은 최신 인기 모바일 게임 앱으로 가장해 이용자의 설치를 유도한다. 아이콘이 똑같아서 가짜와 진짜를 구별하기는 어렵다.
가짜 앱은 설치과정에서 과도한 정보를 요구해 이용자에게 피해를 입힌다. 일반적으로 네트워크 통신과 시스템 도구 같은 최소한의 권한만 요구하는 정상 앱과 달리 가짜 앱은 개인정보, 저장소, 요금이 부과되는 서비스, 전화통화 같은 과도한 접근 권한을 요구한다.
이 중 요금이 부과되는 서비스 권한을 악성 앱이 갖게 되면 이용자 스마트폰이나 이용자의 지인에게 스미싱 문자를 발송해 금융 피해를 입힐 수 있다.
저장소 권한은 이용자가 설치한 앱과 저장한 동영상, 음악, 사진 같은 콘텐츠에 악성앱이 접근해 이들을 삭제·수정함으로써 사생활을 침해하고 개인정보를 분실하게 할 수 있다.
악성 앱은 설치될 때 악성 광고 앱도 몰래 설치한다. 이용자가 무심코 광고를 클릭하면 안드로이드 운영체제(OS)용 앱 설치파일(APK)이 설치돼 원치 않는 데이터 이용 비용이 발생할 수도 있다.
광고 앱은 게임 앱을 사용하지 않을 때에도 나타나기 때문에 스마트폰 사용을 불편하게 할뿐 아니라 언제, 어떻게 설치됐는지 추정하기도 어렵게 한다.
안랩에 따르면 이런 사기성 앱은 주로 공식 앱 장터가 아닌 사설 앱 장터에서 많이 나타난다.
안랩 관계자는 "공식 장터에서 유료인 앱이 사설 장터에서 무료인 경우가 많아 사설 장터를 이용하는 사람이 있는데 앱은 반드시 공식 장터를 이용하고 제작사와 사용자 평판을 확인한 후 설치하는 습관을 들이는 것이 좋다"고 조언했다.