결국 우려했던 대형 사고가 터졌다. 3개 광고대행사가 스마트폰 앱(응용프로그램)을 통해 80만명의 위치정보를 빼낸 사건은 개발자들이 우려한 사고가 현실화했다는 점에서 놀라움을 안겨준다. 특히 보안업체 자회사가 적발된 것은 충격적이다. 이들은 폰 사용자들의 이동경로까지 파악했고 폰을 꺼둔 상태에서도 위치정보를 빼갔다.

서울지방경찰청 사이버수사대에 따르면 3개 광고대행사는 수익 배분 명목으로 광고 탑재 앱 개발자들을 모집한 후 광고 송출과 위치정보 수집 기능을 갖춘 소프트웨어 개발도구(SDK)를 제공했고,개발자들은 이것으로 앱을 개발해 안드로이드마켓,SK텔레콤 T스토어,애플 앱스토어 등을 통해 유통시켰다.

경찰이 확인한 문제의 앱은 1451개에 달한다. 유형별로는 생활 관련 앱이 490개로 가장 많고,교육 앱이 148개,게임 앱이 140개,문화예술 앱이 131개다. 위치정보만 수집한 것도 아니다. 위성위치확인시스템(GPS)의 위도 · 경도 값과 와이파이 및 기지국 접점(IP) 정보,사용자가 누구인지 알려주는 폰 고유식별번호,폰 제품번호까지 수집했다.

이번 사건에는 무료 백신 '알약'으로 유명한 보안업체 이스트소프트도 연루됐다. 자회사 이스트애드의 광고 플랫폼 '애드로컬'에 쓰인 폰 사용자 위치정보 수집 프로그램은 모기업인 이스트소프트가 개발했다. 이스트소프트 관계자는 " 위치정보는 누구의 것인지 식별할 수 없었다"며 "문제가 된다는 얘기를 듣고 사용을 중지했다"고 말했다.

또 하나 놀라운 사실은 심사가 까다롭다고 알려진 애플 앱스토어와 SK텔레콤 T스토어에서도 유통됐다는 점이다. 그동안 안드로이드마켓에는 악성 코드가 심어진 '악성 앱'이 유통될 위험이 크지만 앱스토어나 T스토어는 상대적으로 안전하다고 알려졌다. 보안 전문가들은 도대체 어떻게 애플의 심사를 통과했는지 모르겠다는 반응을 보였다.

경찰은 이번에 입건된 광고대행사들이 수집한 위치정보가 별도의 기술적 보안 조치 없이 서버에 보관돼 있어 해킹을 당할 경우 2차,3차 피해도 발생할 수 있다고 설명했다. 또 앱스토어 안드로이드마켓 등에서 수십만개의 앱이 유통되고 있으나 위치정보 등을 무단으로 수집하는 악성 앱이 얼마나 되는지는 파악하기 어렵다고 덧붙였다.

그동안 개발자들은 "마음만 먹으면 악성 앱을 개발할 수 있다"며 "스마트폰 세상이 무법천지가 될까 두렵다"고 말하곤 했다. 앱에 해킹 코드를 심어 뿌린다든지,아이디 패스워드 등을 빼가는 앱을 만들어 퍼뜨릴 수도 있다고 우려했다. 일부 사이버 장터에서 심사를 거치지 않고 앱을 유통시키는 것도 문제라고 지적했다.

김광현 IT전문기자 khkim@hankyung.com