베이징에 거주하는 저우모 씨는 최근 휴대폰에 알 수 없는 광고 팝업창이 떴는데 지워지지 않아 불편을 겪었습니다. 이상하다고 느낀껴 전문가에게 의뢰한 결과, 휴대폰 바탕화면에 파일명이 없는 투명한 애플리케이션(앱)이 깔려있다는 사실을 발견했습니다. 투명 앱의 정체는 바로 불법 소프트웨어. 이용자 동의 없이 어느 순간 설치돼 불필요하게 배터리와 데이터를 소모하고 있었습니다.

대학생 리보 씨도 유사한 피해를 입은 것으로 알려졌습니다. 리 씨도 최근 100% 완충된 휴대폰 배터리가 반 나절도 지나지 않아 금방 소모되고, 한 달 30기가바이트(GB)면 충분했던 데이터 이용량이 최근 보름 만에 바닥이 나 어리둥절했습니다. 리 씨는 "아무 앱도 작동 않았는데 계속 데이터가 줄어 폰에 귀신이 붙은줄 알았다"고 말했습니다.

결국 그는 휴대폰 매장에 직접 찾아가 문의한 결과, 알 수 없는 투명 앱이 설치돼 작동되고 있다는 사실을 확인했습니다. 리 씨는 "언제 설치됐는지, 어떻게 작동시키는 것인지 전혀 모르겠다. 매장 직원 역시 도저히 지울 수 없으면 휴대폰을 초기화하라고 했다"고 현지 언론에 전했습니다.
사진=바이두 캡처
사진=바이두 캡처

"중국앱 찝찝했던 이유 있었네"…악성코드로 개인정보 수집

최근 중국에선 이 같은 불법 투명앱이 휴대폰에 무단 설치돼 피해를 입는 사례가 잇따르고 있습니다. 이 불법 투명앱은 이용자 휴대전화 바탕화면에서 보이지 않고, 다운로드 등 알림이 뜨면 설정창에서 공백 아이콘으로 표시되고 있어 이용자가 쉽게 알아차리기 어렵다고 합니다. 중국 관영통신 신화사와 현지 언론은 최근 피해 사례를 대대적으로 보도했습니다.

불법 투명앱이 휴대폰에 설치되는 과정은 감쪽같다고 합니다. 이용자들이 웹 검색을 할때 나타나는 푸시 팝업 광고창을 '닫기', '넘기기' 등을 누를 때 조용히 설치되기 때문입니다. 현지 보안 전문가는 "심지어 다른 앱을 다운로드 받을 때 불법 앱이 같이 깔리기도 한다"고 말했습니다. 실제로 이러한 사례가 최근 빈번하게 나타나고 있다고 현지 언론은 언급했습니다.
사진=바이두 캡처
사진=바이두 캡처
한 이용자는 "특정 쇼핑앱을 다운로드 받고 팝업창 '허용'을 누른 다음부터 모든 쇼핑앱에서 과거 쇼핑 검색했던 상품과 비슷한 상품 카테고리가 뜨기 시작했다"며 "불법앱에 소프트웨어 개발 키트(SDK)가 내장돼 있어 이용자 행동 데이터를 수집하고 이 정보를 다른 서비스 사업자에게 팔 수 있다는 것을 알았다"고 말했습니다.

텐센트의 휴대폰 보안 책임자는 "현재 약 500만개의 불법앱을 수집해 분석한 결과 이런 불법 투명앱은 불필요하게 데이터와 배터리를 소모할 뿐 아니라 광고를 강제로 시청하게 하거나, 악성코드를 이용해 마이크·카메라 권한과 키보드 기록에 접근해 사진·통신기록·문자메시지·위치기록 등 개인정보를 빼내기도 한다"고 밝혔습니다. 일부 이용자들은 불법 투명앱이 설치된 이후 잠금화면을 해제할 때마다 광고를 봐야하다며 불편을 호소하기도 했습니다. 이용자 동의없이 매월 일정 금액이 결제되는 경우도 발견됐습니다.
월스트리트저널(WSJ)은 텍사스주와 위스콘신주의 두 학부모가 틱톡을 상대로 소송을 제기했다고 보도했다. /사진=연합뉴스
월스트리트저널(WSJ)은 텍사스주와 위스콘신주의 두 학부모가 틱톡을 상대로 소송을 제기했다고 보도했다. /사진=연합뉴스

"틱톡 당장 지워라"…중국 관리자 데이터 열람설 '솔솔'

중국 IT 업체들의 개인정보 유출문제는 끊임없이 도마에 오르고 있습니다. 중국 정부는 최근 대형 정보기술 기업(빅테크)에 대한 규제를 강화하면서 이런 개인정보 침해 업체 명단을 발표하는 등 공개 단속하고 있는데도 한계가 있는 실정입니다. 중국 정부는 지난해 개인정보보호법 제정하고 개인정보를 사고판 자에게 최고 징역 7년 처분을 내리는 등 법체계를 정비했지만, 여전히 개인정보 유출 사례가 빈번하게 이뤄지고 있습니다.

지난달에는 중국 경찰이 보유한 중국인 약 10억명의 개인정보가 해킹으로 유출됐다는 설이 불거져 당국이 알리바바를 수사하고 있습니다. 유출된 개인정보가 알리바바 클라우드에 저장돼 있었던 것으로 알려졌기 때문입니다. 지난 4월엔 방역 건강앱 '젠캉바오' 시스템이 해킹 공격을 받아 PCR 검사 결과 노출이 지연되기도 했습니다.
한 이용자가 동영상 앱(응용프로그램) ‘틱톡’의 이용약관을 보고 있다. 중국 바이트댄스가 개발한 이 앱은 약관에 국가 당국 등과 회원 정보를 공유할 수 있다는 조항이 있다. 강은구 기자 egkang@hankyung.com
한 이용자가 동영상 앱(응용프로그램) ‘틱톡’의 이용약관을 보고 있다. 중국 바이트댄스가 개발한 이 앱은 약관에 국가 당국 등과 회원 정보를 공유할 수 있다는 조항이 있다. 강은구 기자 egkang@hankyung.com
해외에서는 중국의 짧은 동영상 공유앱 '틱톡'이 전세계 이용자들 개인정보를 수집하고 있다는 지적을 꾸준히 받고 있습니다. 지난달 호주의 한 보안업체는 틱톡과 메신저 위챗(웨이신) 이용자들의 개인정보가 중국의 정보 활동과 해킹 등에 활용될 위험성이 있다고 경고했습니다. 미국 서버에 담긴 정보를 중국의 관리자가 사실상 열람할 수 있다는 틱톡 직원의 녹음 파일이 공개되기도 했습니다. 해당 보고서는 미국 상원 청문회에 제출될 예정입니다.

중국판 틱톡 역시 지난해 5월 중국 인터넷정보판공실(CAC)이 발표한 데이터 불법 접근·과잉 수집 플랫폼 명단에 포함된 바 있습니다. 당국이 단속을 강화하고 있지만 최근 불법 투명앱과 같은 중국의 개인정보 유출 피해 사례가 잊을 만하면 나타나고 있습니다.

이에 대해 전문가는 "신규 앱을 설치할때 각별히 유의해야 한다"며 "알 수 없는 링크는 절대 누르지 말고 정식 앱스토어를 통해 앱을 내려받고, 시스템에서 '알 수 없는 소스의 소프트웨어 설치 금지'를 설정해 둬 악성 프로그램 무단 설치를 방지해야 한다"고 조언했습니다. 특히 미확인 링크는 누르지 말고, 출처를 알 수 없는 QR코드는 스캔하지 않는 것이 좋다고 조언했습니다.

조아라 한경닷컴 기자 rrang123@hankyung.com