무료 앱의 함정, 드러난 악성코드
스마트폰이 일상의 중심이 되면서 ‘무료 앱’의 유혹은 더욱 커지고 있다. 무료 영화 앱, 무료 VPN, 무료 파일 변환기 등은 인터넷에 검색만 해도 쉽게 발견되는 인기 키워드다. 그러나 이런 ‘공짜’ 서비스 상당수는 개인정보를 탈취하거나 기기 통제권을 노리는 악성코드를 숨기고 있다. 아무 의심 없이 설치했다가 주소록, 문자, 사진, 금융 정보까지 통째로 공격자에게 넘어가는 사태가 발생한다. 이번 글에서는 ‘무료’라는 이름을 위장한 악성 앱의 특징과 피해 유형, 그리고 이를 피하기 위한 현실적인 대처법을 살펴본다.
무료 앱으로 위장한 악성 사례 확산
최근 무료 인터넷방송 앱을 사칭해 악성 앱을 유포한 일당이 재판에 넘겨졌다. 이들은 영화와 드라마를 무료로 볼 수 있다고 속여 사용자를 유인했고, 설치된 앱을 통해 약 150만 건의 개인정보를 탈취했다. 탈취한 정보는 해외 IP와 차명폰을 활용해 불법 도박 사이트 운영 등에 악용됐다. 앱 하나가 거대한 사이버 범죄 생태계의 시작점이 된 셈이다.
보안 업계 역시 무료 VPN의 위험성을 지속적으로 경고하고 있다. 한 연구 결과에 따르면, 올해 들어 무료 VPN 설치 과정에서 악성 프로그램이 함께 내려오는 사례가 이전보다 2.5배 이상 증가했다. 공격자들은 무료 VPN을 통해 생성된 트래픽을 악성 서버로 활용하거나, 이용자의 기기를 봇넷처럼 이용해 다른 공격을 수행한다. 사용자는 ‘무료 보안 앱’이라고 믿었지만, 실상은 자신의 스마트폰을 범죄 인프라로 내어준 셈이다.
문서 변환기나 MP3 다운로드 도구처럼 단순 기능을 제공하는 무료 웹사이트도 예외는 아니다. 미 연방수사국(FBI)은 무료 파일 변환을 표방하는 일부 사이트가 변환 과정에서 파일을 몰래 수집하거나, 변환된 파일 안에 악성 스크립트를 숨겨 배포하는 수법을 각국에 경고한 바 있다. 겉보기에는 정상적인 PDF나 JPG처럼 보이지만, 파일을 열면 악성코드가 실행돼 원격 제어나 정보 탈취에 악용되는 식이다.
‘무료 앱’ 공격이 먹히는 진짜 이유는 바로 ‘방심’
이 같은 악성 앱이 쉽게 퍼지는 이유는 사용자의 방심이다. 계산기 앱이 연락처나 카메라 권한을 요구해도 이상하게 여기지 않는가 하면, 광고가 지나치게 많아도 “무료니까 그렇겠지”라고 넘기기 쉽다. 공격자들은 바로 이 심리를 노린다.
검색엔진 광고를 이용해 악성 앱을 상단에 노출하거나, 유명 사이트에서 ‘도움글’처럼 위장한 홍보 게시물을 올리기도 한다. 도메인 이름도 교묘하다. 예를 들어 영어 알파벳 ‘rn’을 ‘m’처럼 보이게 하거나, 기존 유명 사이트의 .co를 .inc 등으로 바꿔 사용자를 헷갈리게 만든다. 사용자는 익숙한 로고와 디자인만 보고 URL을 꼼꼼히 확인하지 않는 사용자가 많다는 점을 악용하는 방식이다.
공짜 앱의 공통 특징과 주요 피해
무료 앱으로 위장한 악성 앱은 대부분 다음과 같은 특징을 갖는다.
- 필요 이상의 과도한 권한 요구
- 백그라운드에서 은밀하게 데이터 전송
- 업데이트를 빙자한 추가 악성 기능 설치
- 광고 폭탄 또는 강제 동영상 노출
- 암호·주소록·GPS 위치 등 민감 정보 탈취
- 원격 제어 권한 확보 후 기기 통제
피해는 단순 광고 노출을 넘어 금융 피해, 계정 탈취, 사진 유출, 가족·지인을 향한 2차 스미싱으로 이어지기도 한다.
무료 앱의 함정에서 벗어나는 현실적인 방법
무료 앱의 위험을 피하기 위한 사용자의 실천 방법은 생각보다 간단하다.
1. 앱 설치 전 리뷰 확인하기
앱을 설치하기 전에 리뷰를 살펴봐야 한다. 짧고 단순한 문장이 반복되거나, 최근 날짜의 리뷰만 비정상적으로 몰려 있다면 의심해야 한다.
2. 필요한 권한만 허용하기
권한은 꼭 필요한 것만 허용한다. 예를 들어, 손전등 앱이 연락처나 위치 정보를 요구하는 것은 명백한 이상 신호다.
3. APK 등 외부 설치 파일 주의
APK 같은 외부 설치 파일은 극도로 주의해야 하며, 가급적이면 공식 앱스토어를 이용해야 한다.
4. 모바일 백신 등 보안 솔루션 병용
실시간 감시와 자동 업데이트 기능을 갖춘 백신을 활용하면 위험을 크게 낮출 수 있다.
이 중에서도 무료 앱의 유혹을 막는 가장 현실적인 방법은 신뢰할 수 있는 모바일 백신을 사용하는 것이다. 특히 안드로이드 사용자라면 안랩 V3 모바일 시큐리티(AhnLab V3 Mobile Security)가 효과적인 선택지가 될 수 있다.
안랩 V3 모바일 시큐리티는 모든 핵심 기능을 제한 없이 제공하는 무료 모바일 백신으로, 바이러스 검사와 자동 업데이트, 애플리케이션 권한 점검, 실시간 감시 등 악성코드 차단에 필요한 기능을 폭넓게 지원한다. 앱 사용 중 하단에 배너 광고가 표시되거나, 종료 시 전면 광고가 나타나는 무료 모델이 기본이지만, 월 단위 유료 결제를 통해 광고 제거도 가능하다.
또한, 메모리 정리, 임시 파일 정리 등 스마트폰 사용 속도를 쾌적하게 유지할 수 있으며, 갤러리 내 특정 파일 및 폴더에 대한 접근을 제한하거나, 특정 앱 실행을 잠그는 등 개인정보 보호 기능도 제공한다. 여기에 더해 URL·QR코드·이미지 검사 기능을 통해 피싱 사이트나 악성 링크로부터의 피해를 예방할 수 있다.
기업 환경에서는 직원이 불가피하게 비공식 앱이나 무료 도구를 찾지 않도록 필요한 업무용 도구를 정식으로 제공하는 것이 중요하다. 운영체제와 브라우저를 최신으로 유지하고, 보안 정책을 지원 중심으로 설계해야 한다. 충분한 지원 없이 규제만 강화하면 오히려 직원이 개인 기기나 무료 앱에 의존하며 새로운 보안 위험이 발생할 수 있다.
‘무료’라는 말은 언제나 매력적으로 들리지만, 보안에서는 종종 가장 비싼 대가를 요구한다. 앱 하나, 파일 변환 사이트 하나가 개인정보 탈취와 금전 피해, 랜섬웨어 공격으로 이어질 수 있기 때문이다.
무료 앱을 설치하기 전, 한 번 더 의심하고 확인하는 습관이 스마트폰과 개인정보를 지키는 가장 강력한 방패가 될 것이다.
출처 : AhnLab
