[우리문화신문=김영조 기자]  슬기말틀(스마트폰)이 일상의 중심이 되면서 ‘무료 앱’의 유혹은 더욱 커지고 있다. 무료 영화 앱, 무료 가상 사설망(VPN), 무료 파일 변환기 등은 인터넷에 검색만 해도 쉽게 발견되는 인기 열쇠말이다. 그러나 이런 ‘공짜’ 서비스 상당수는 개인정보를 탈취하거나 기기 통제권을 노리는 악성코드를 숨기고 있다. 아무 의심 없이 설치했다가 주소록, 문자, 사진, 금융 정보까지 통째로 공격자에게 넘어가는 사태가 발생한다. 이번 글에서는 ‘무료’라는 이름을 위장한 악성 앱의 특징과 피해 유형, 그리고 이를 피하기 위한 현실적인 대처법을 살펴본다.

 

 

 

무료 앱으로 위장한 악성 사례 확산

 

최근 무료 인터넷방송 앱으로 속여 악성 앱을 유포한 일당이 재판에 넘겨졌다. 이들은 영화와 드라마를 무료로 볼 수 있다고 속여 사용자를 유인했고, 설치된 앱을 통해 약 150만 건의 개인정보를 탈취했다. 탈취한 정보는 나라 밖 정보 제공자(IP)와 차명전화를 활용해 불법 도박 누리집 운영 등에 악용됐다. 앱 하나가 거대한 사이버 범죄 생태계의 시작점이 된 셈이다.

 

보안 업계 역시 무료 가상 사설망의 위험성을 지속적으로 경고하고 있다. 한 연구 결과에 따르면, 올해 들어 무료 가상 사설망 설치 과정에서 악성 프로그램이 함께 내려오는 사례가 이전보다 2.5배 이상 늘었다. 공격자들은 무료 가상 사설망을 통해 생성된 트래픽(전화나 통신에서, 정보의 이동량)을 악성 서버로 활용하거나, 이용자의 기기를 봇넷(악성코드 봇에 감염되어, 해커가 마음대로 제어할 수 있는 좀비 피시)처럼 이용해 다른 공격을 수행한다. 사용자는 ‘무료 보안 앱’이라고 믿었지만, 실상은 자신의 슬기말틀을 범죄 시설로 내준 셈이다.

 

문서 변환기나 MP3 다운로드 도구처럼 단순 기능을 제공하는 무료 웹사이트도 예외는 아니다. 미 연방수사국(FBI)은 무료 파일 변환을 표방하는 일부 누리집이 변환 과정에서 파일을 몰래 수집하거나, 변환된 파일 안에 악성 스크립트를 숨겨 배포하는 수법을 각국에 경고한 바 있다. 겉보기에는 정상적인 PDF나 JPG 파일처럼 보이지만, 파일을 열면 악성코드가 실행돼 원격 제어나 정보 탈취에 악용되는 식이다.

 

‘무료 앱’ 공격이 먹히는 진짜 이유는 바로 ‘방심’

 

이 같은 악성 앱이 쉽게 퍼지는 이유는 사용자의 방심이다. 계산기 앱이 연락처나 카메라 권한을 요구해도 이상하게 여기지 않는가 하면, 광고가 지나치게 많아도 “무료니까 그렇겠지”라고 넘기기 쉽다. 공격자들은 바로 이 심리를 노린다.

 

검색엔진 광고를 이용해 악성 앱을 상단에 노출하거나, 유명 사이트에서 ‘도움글’처럼 위장한 홍보 게시물을 올리기도 한다. 도메인 이름도 교묘하다. 예를 들어 로마자 알파벳 ‘rn’을 ‘m’처럼 보이게 하거나, 기존 유명 사이트의 .co를 .inc 등으로 바꿔 사용자를 헷갈리게 만든다. 사용자는 익숙한 로고와 디자인만 보고 URL을 꼼꼼히 확인하지 않는 사용자가 많다는 점을 악용하는 방식이다.

 

공짜 앱의 공통 특징과 주요 피해

 

무료 앱으로 위장한 악성 앱은 대부분 다음과 같은 특징을 갖는다.

 

     이상의 과도한 권한 요구

     배경(백그라운드)에서 은밀하게 데이터 전송

     빙자한 추가 악성 기능 설치

     폭탄 또는 강제 동영상 노출

     위치 파악 시스템(GPS) 위치 등 민감 정보 탈취

     제어 권한 확보 뒤 기기 통제

 

피해는 단순 광고 노출을 넘어 금융 피해, 계정 탈취, 사진 유출, 가족·지인을 향한 2차 문자결제사기(스미싱)으로 이어지기도 한다.

 

무료 앱의 함정에서 벗어나는 현실적인 방법

 

무료 앱의 위험을 피하기 위한 사용자의 실천 방법은 생각보다 간단하다.

 

1. 앱 설치 전 평(리뷰) 확인하기

앱을 설치하기 전에 평을 살펴봐야 한다. 짧고 단순한 문장이 반복되거나, 최근 날짜의 평만 비정상적으로 몰려 있다면 의심해야 한다.

 

2. 필요한 권한만 허용하기

권한은 꼭 필요한 것만 허용한다. 예를 들어, 손전등 앱이 연락처나 위치 정보를 요구하는 것은 명백한 이상 신호다.

 

3. APK 등 외부 설치 파일 주의

APK(안드로이드 운영 체계에서 응용 프로그램과 미들웨어를 설치하고 배포할 수 있도록 된 파일 포맷) 같은 외부 설치 파일은 극도로 주의해야 하며, 되도록이면 공식 앱스토어를 이용해야 한다.

 

4. 모바일 백신 등 보안 솔루션 병용

실시간 감시와 자동 업데이트 기능을 갖춘 백신을 활용하면 위험을 크게 낮출 수 있다.

 

이 가운데서도 무료 앱의 유혹을 막는 가장 현실적인 방법은 신뢰할 수 있는 모바일 백신을 사용하는 것이다. 특히 안드로이드 사용자라면 안랩 V3 모바일 시큐리티(AhnLab V3 Mobile Security)가 효과적인 선택지가 될 수 있다.

 

안랩 V3 모바일 시큐리티는 모든 핵심 기능을 제한 없이 제공하는 무료 모바일 백신으로, 바이러스 검사와 자동 업데이트, 애플리케이션 권한 점검, 실시간 감시 등 악성코드 차단에 필요한 기능을 폭넓게 지원한다. 앱 사용 중 하단에 배너 광고가 표시되거나, 종료 시 전면 광고가 나타나는 무료 모델이 기본이지만, 월 단위 유료 결제를 통해 광고 제거도 가능하다.

 

또한, 메모리 정리, 임시 파일 정리 등 슬기말틀 사용 속도를 쾌적하게 유지할 수 있으며, 갤러리 내 특정 파일 및 폴더에 대한 접근을 제한하거나, 특정 앱 실행을 잠그는 등 개인정보 보호 기능도 제공한다. 여기에 더해 인터넷 주소(URL)ㆍ정보무늬(QR코드)·이미지 검사 기능을 통해 전자금융사기(피싱) 누리집이나 악성 링크로부터의 피해를 예방할 수 있다.

 

기업 환경에서는 직원이 불가피하게 비공식 앱이나 무료 도구를 찾지 않도록 필요한 업무용 도구를 정식으로 제공하는 것이 중요하다. 운영체제와 브라우저를 최신으로 유지하고, 보안 정책을 지원 중심으로 설계해야 한다. 충분한 지원 없이 규제만 강화하면 오히려 직원이 개인 기기나 무료 앱에 의존하며 새로운 보안 위험이 발생할 수 있다.

 

‘무료’라는 말은 언제나 매력적으로 들리지만, 보안에서는 종종 가장 비싼 대가를 요구한다. 앱 하나, 파일 변환 누리집 하나가 개인정보 탈취와 금전 피해, 금품 요구 악성 프로그램(랜섬웨어) 공격으로 이어질 수 있기 때문이다.

 

무료 앱을 설치하기 전, 한 번 더 의심하고 확인하는 습관이 슬기말틀과 개인정보를 지키는 가장 강력한 방패가 될 것이다.

 

                                                                                          AhnLab 콘텐츠마케팅팀 제공