안드로이드와 iOS의 폰 보안정책과 사기사건

※ 계속 새로운 수법의 사기가 등장하고 있습니다. 모든 것을 다 알려드리지는 못하고, 오늘은 한 가지가 추가되어 이렇게 글을 갱신합니다. 사실 처음 글을 쓴 뒤부터 지금까지 상당히 많은 사기수법이 등장했습니다. 사기 수법이 너무 많아서 다 알려드리기 힘들만큼 다양하게 시도되네요.

---

최근 불량앱을 이용한 사기사건이 늘고 있다. 모두 구글 안드로이드라는 OS를 쓰는 쓰마트폰을 통해서다.

30만 원 사기를 당한 피해자

출처 : 소액 사기 당했어요.

이 이미지는 사기 피해자가 웹에 올린 것이다. 처음에는 파리바게트 쿠폰에 당첨됐다는 문자에서 출발했다고 한다. 이 문자에 인터넷 주소가 있고, 그걸 클릭하면 자기도 모르게 앱이 다운받아진다고 한다. 그래서 다운받아진 앱을 실행하면 아무런 반응이 없고, 그래서 피해자는 그냥 앱을 지웠다고 한다. 저 소액결제가 이뤄진 시간은 앱을 실행했던 때라고 한다.

이런 사기는 서버가 주로 외국에 있기 때문에 환불 같은 피해구제가 불가능하다.

이런 사기가 어떻게 가능해진 것일까? 여기에는 안드로이드와 iOS라는 운영체제의 기본 운영철학과 역사를 바탕으로 하는 것이기 때문에 자세히 살펴볼 필요가 있다.

---

애플과 구글의 스마트기기의 출발

우선 앱스토어(App store)라는 걸 처음 만든 건 애플이었다. 애플 CEO 스티브 잡스는 단말기(mp3 player, 스마트폰, 컴퓨터 등)와 연동되는 프로그램 장터를 만들었고, 개발자가 개발한 프로그램(App)을 거기에 등록하게끔 하였다. 이때 소비자의 안전을 가장 중요하게 여겼던 스티브 잡스는 최대한 문제가 있는 프로그램이 앱스토어에 등록되지 못하도록 하였다. 스티브 잡스는 결제와 관련된 앱과 개인정보를 유출할 수 있는 앱에 대해서 특히 주의를 하였다. 그래서 신용카드 결제 문자로 가계부를 정리하게끔 해주는 앱은 등록되지 못했다고 한다. 이것처럼 등록되지 못한 앱도 많았고, 등록이나 업데이트할 때 걸리는 시간도 매우 긴 편이었다. (보통 2 주 정도 걸린다. 개발사에서 매우 긴급한 업데이트라고 하면 1~2 일만에도 업데이트 되는 경우가 있다고 한다.) 사용자들은 이를 매우 불편하다고 생각했기 때문에 탈옥이라는 방법을 사용해서 애플이 등록하지 않은 앱들을 쓰기 시작했다. (사실은 유료앱을 공짜로 쓰고자 하는 사람들이 더 많았을 것이다.)
아무튼, 앱의 질이 좋아서인지 시장 선점효과 때문인지, 사용자가 매우 늘었고, 그래서 앱이 더 많이 등록되어 몇 십만 개에 이르게 됐다.

애플의 성장을 지켜보던 구글도 스마트폰용 운영체제 안드로이드를 만들기로 한다. 대신 하드웨어 생산 능력이 없던 구글은 이 운영체제를 다른 스마트폰 제조업체들이 무료로 쓸 수 있도록 라이센스(사용권리)를 개방한다. 아마도 MS가 MS-dos로 IBM을 제압했던 역사를 재현하고 싶었던 것 같기도 하다.

후발주자였던 구글은 안드로이드 앱스토어(구글 플레이스)에 앱이 등록되는 기준을 애플보다는 완화해서 추진한다. 여기다가 앱을 컴퓨터에서 직접 설치할 수 있는 기능도 마련해 놓는다.(애플 단말기도 컴퓨터에서 직접 앱을 설치할 수 있다. 다만, 앱스토어에 등록되지 않은 앱은 실행되지 않는다.) 물론 문제가 있는 앱을 관리하는 방법을 구글이 마련하지 않은 건 아니다. 예를 들어, 옛날에 사용자의 컴 정보를 무단으로 수집해서 팔아먹는 업체가 있었는데, 문제가 있다고 알려지자 구글은 그 앱 사용자의 폰에서 그 앱을 강제로 삭제하고서, 강제로 리부팅시켜버린 일이 있었다. (이 소식이 알려지자 안드로이드 개발자들 사이에 큰 충격이 일었었다고 한다.) 그러나 개인정보를 밖으로 노출할 수 있는 문자를 관리하는 앱 같은 건 정식으로 유통됐다.
아무튼 구글의 안드로이드를 이용한 삼성, LG, HTC 등의 제품은 인기를 얻고, 전세계 스마트폰 시장의 60% 이상을 점유하기에 이른다.

---

안드로이드의 그늘

지금은 구글 안드로이드와 애플 iOS에서 사용할 수 있는 앱 수는 비슷하다. 구글 플레이스에 등록된 앱 숫자가 애플의 앱스토어에 등록된 앱 숫자를 넘어서는 데는 2 년 정도 걸린 셈이다. 물론 아직은 iOS에 등록된 앱들의 수준이 더 좋기 때문에, 삼성 알바에게 물어본 것이 아니라면, 양쪽 기기를 써본 사람들은 애플을 더 추천하는 사람들이 더 많다. (삼성 알바가 아닌 사람이 삼성 단말기를 추천하는 것이라면 참 불쌍할 뿐이다. 알바라면 알바비라도 받지...)

안드로이드 기기 사용자들이 늘어나자 문제가 불거지기 시작했다. 사기를 치는 것이다.

사기유형 첫 번째

안드로이드는 앱이 개인정보에 접근하는 게 가능하다. 전화번호부, 문자, 통화기록, 위치정보 등을 모두 활용할 수 있다. 이런 정보에 접근할 수 있다면 매우 재미있는 앱들이 가능해진다. 내 휴대폰 사용통계를 내서 더 좋은 요금제를 추천해 준다거나, 문자를 검사해서 스팸을 제거한다거나 하는 기능 말이다. (애플 스마트폰은 안타깝게도 아직도 스팸 제거기능이 없다.) 그런데 이런 정보를 악용하면 어떻게 될까?
이를 활용한 사기는 게임 사이트나 쇼핑몰에서 나왔다. 앱 생산자들이 자기 앱이 설치된 스마트폰의 정보를 전송받아서 계정 ID와 전화번호를 일단 수집한다. 그 뒤에 해당 서비스에 접속해서 비밀번호 초기화를 신청하고, 초기화된 새 비밀번호를 폰으로 전송받는다. 그리고 앱을 통해 비밀번호 초기화 문자를 빼내고, 받은 적이 없는 것처럼 지운다.
계정을 알게 된 앱 생산자는 서비스에서 유료 아이템을 구매하거나 물건을 주문해 현금화한 뒤에 종적을 감추는 방식으로 사기를 치는 것이다.

사기유형 두 번째

앞에 이미지를 올렸듯이, 웹을 통해 소비자 몰래 단말기에 앱을 설치하도록 만든다. 그리고 그 앱을 통해 개인정보를 수집하거나 유료결제를 하여 현금화하는 방법으로 사기를 친다.


사기유형 세 번째

어제 페이스북을 통해 경찰이 사기유형을 고지하여 추가한다.
아래와 같은 메시지가 오고, 링크를 클릭하면 악성코드가 안드로이드폰에 설치된다. 그 뒤에 5만 원이 자동결제되는 사기다.

구글이 왜 이런 위험성을 방치했을까?

사기유형은 아직 많이 알려져 있지 않아서 그렇지, 이것 말고도 많을 것이다.
구글도 처음 안드로이드를 만들 때 위험을 알았을 것이다. 그러나 후발주자였던 구글은, 선발주자인 애플을 따라잡기 위해서 어쩔 수 없는 선택을 했었을 것이다. (더군다나 당시에 소비자들은 애플의 폐쇄적인 앱 등록정책에 불만이 많아 탈옥을 일삼던 때였다.) 이건 순전히 내 추측인데, 구글도 어느정도 앱스토어 규모가 커지면 보안을 강화해서 피해자에 대한 대비책을 마련하려고 했을 것이다. (구글은 앱스토어의 성장과 악성앱이 등장할 타이밍 사이의 절묘한 줄타기가 가능하다고 생각했던 것 같다.) 그리고는, 안드로이드 앱스토어가 질적으로 iOS 앱스토어를 능가하는 순간에 그 대비책을 마련하려던 계획이 아니었을까? 그러나 구글의 계획과는 다르게 악성앱이 먼저 나와버렸고, 실제로 피해자가 양산되기에 이른다.

만약, 스티브 잡스가 구글 CEO였다면 어떻게 했을지가 궁금해지는 대목이다.

---

앞으로의 전망

안드로이드에게 악성앱은 발등의 불이다. 사실상 지금까지 등록된 앱들이 제대로 검사된 것이 아니기 때문에 모두 다시 검사해야 한다. 그러나 지금까지 등록된 모든 앱들을 전수검사하는 건 거의 불가능하다. 그럼 어떻게 이 문제를 해결할까?

구글의 대응방안

구글의 대응방안이 뚜렷하지 않다. 한 가지 생각할 수 있는 방법은 악성코드를 색출해 동작을 멈추게 하고, 제거하는 앱을 구글이 직접 만들어서 모든 안드로이드 스마트기기에 강제로 설치하는 것이다. 또 주소록에 등록돼 있지 않은, 모르는 사람에게서 온 문자 같은 경우는 도메인을 포함시키지 않도록 만드는 것도 좋은 방법일 것 같다. 그러나 이게 가능할까? 매우 어려운 방법이라고 생각된다. 그러나 지금까지 보여준 기술의 구글이라면 가능할지도 모르겠다. 그리고 어렵더라도 무조건 해야 한다.

사용자의 대응방안

사용자들도 자기 안전을 자기가 지켜야 할 것이다. 우선 자기가 쓰는 앱들부터 점검하는 게 좋을 것 같다. 편하다고 자기 개인정보를 다루는 앱들을 일단 제거해야 한다. 그리고 유명하지 않은 회사나 개인들이 만든 앱들을 설치할 때는 매우 조심해야 하고, 또 모르는 사람들에게서 온 문자 등을 조심해야 한다. 또 앞으로 안드로이드 스마트기기에는 항상 백신을 설치해야 할 것으로 보인다. (그런데 제대로 된 백신을 쓰자. 초기 안드로이드 단말기를 만들던 업체들은 백신 흉내를 내는 앱을 만들어줄 것을 하청업체에게 요청했었다고 한다. 당신도 알고 있을 유명 대기업이 그들이다. 또 성능이 약한 알약 같은 앱도 지워버리자!)

안드로이드보다 더 염려되는 윈도우즈8

솔직히 안드로이드 OS가 설치된 스마트기기보다 더 염려되는 것이 MS의 윈도우즈8(Windows 8, 앞으로는 윈8로 적는다.)이다. 우선 윈8은 iOS나 안드로이드보다 후발주자여서 어쩔 수 없이 안드로이드가 썼던 방법을 전략적으로 활용할 것으로 보인다.

그런데 윈도우즈8(앞으로는 그냥 윈8)은 스마트기기와 PC에 동시에 설치할 수 있고, 연동도 가능하다. 뭔가 딱 떠오르는 생각! 무한의 해적질이 가능하다.
다시 말하자면, MS 윈도우즈에 있는 ActiveX의 전처를 밟는 것이다. 수많은 사용자가 사기꾼들에게 돈을 뜯겼고, 사기꾼들은 지금 수백억대의 자산가가 돼 있다. 그 일이 반복될 가능성이 농후하다는 것이다.

PC에 설치할 수 있는 프로그램 특성상 항상 앱스토어(MS는 이걸 스마트 플레이스라고 부른다.)에 등록된 것만 쓰라고 강요할 수도 없는 등 MS로서는 진퇴양란에 처한 것이다. 내가 윈8이 처음 나온 걸 보고서, 미래가 어둡다고 생각한 한 가지 이유다. 애플의 iOS도 PC와 스마트기기에 동시에 사용 가능하지만 상황이 좀 다르다. 이에 대한 건 이 글 주제에서 벗어나니 생략하자.

키보드가 분리되면 스마트패드처럼 쓸 수 있는 윈8이 설치된 노트북 : Asus 트렌스포머
하드웨어적으로 훌륭하지만, 터치패드 화면에 남는 지문이 문제다.

((이런 기기 하나하나는 매우 훌륭하다. 기존 PC 수준에서만 쓰면 나쁘지 않을 듯하다.))
Asus 기기는 다른 글에서 다시 다루겠다.

아직까지 앱 개발자들 사이에서도 윈8을 고려해서 모든 문제를 검토하고 있지는 못하다고 한다.

참고 : 윈8에 대한 이야기

윈8이 성공하지 못할 것이라고 꼽은 다른 이유 하나는 터치할 수 있는 화면을 쓰는 걸 가정하고 만든 UI가 문제였다. 그게 가능한 PC에서 잠깐 써보니, 그리 나쁘지 않은 UI라는 생각이 들었다. 그러나 현실적으로, 그리고 앞으로도 그런 기능을 갖춘 PC는 많지 않을 것이고, 제한적으로만 쓰이게 될 것이다. 이에 대한 자세한 이야기는 다른 글에서 쓴 적이 있으니 읽어보자. 이 글과는 거리가 좀 있다.

윈도우8이 시장에 잘 안착할 수 있을까?

맺음말

정말 부탁한다. 불완전한 MS의 정책 때문에 그동안에도 많이 사기당하지 않았었나? 이제는 구글 차례다.

안드로이드가 iOS의 경쟁자이자 대항마로서 훌륭한 역할을 하고 있다는 거 인정한다. 그러나 안드로이드를 쓰기 전에 우선 그 단점을 파악하고, 사기당하지 않게 조심하자.

화면이 터치화면과 일반화면 두 개인 아수스 타히치
화면이 두 개인만큼 비싸서 사용자는 많지 않을 것으로 보인다.
컴퓨터 속의 술은 달콤한 와인일까, 쓴 소주일까?