포켓몬고, 안전한가요?
[디지털데일리 최민지 기자] 증강현실(AR)을 이용해 포켓몬스터를 잡는 스마트폰 게임 ‘포켓몬고(Go)’ 인기가 전세계를 강타하고 있다.
한국을 포함해 게임 미출시 국가 내 이용자들도 포켓몬고를 다운로드받기 위해 우회적 방법을 이용할 정도며, 국내 이용자만 103만명 이상이다.
하지만 포켓몬고는 보안과 안보를 위협하는 취약점을 갖고 있어 보안업계에서는 우려를 제기하고 있다. 단순히 ‘게임은 재밌으면 그만’이라는 인식으로 정보보호 등에 부주의할 수 있으나, 개인정보 유출 및 금전 탈취 등의 실제 피해로 이어질 수 있다는 것이다.
에스이웍스 관계자는 “포켓몬고 앱은 보안이 제대로 갖춰져 있지 않아 벌써 복제판이 출시되고 악성코드가 삽입된 위변조 버전이 재배포되고 있는 실정”이라며 “현재 포켓몬고 앱의 소스코드는 난독화돼 있지 않아 리버스 엔지니어링을 매우 손쉽게 할 수 있다”고 말했다.
소스코드는 해당 소프트웨어가 어떻게 만들어졌는지 알 수 있는 프로그래밍 설계지도와 같다. 해커들은 모바일 앱을 해킹하는 디컴파일 등을 통해 소스코드를 알아내 이를 악용 가능하다. 이에 소스코드를 추출하더라도 공격자들이 알아보기 어렵게 만드는 난독화 기술을 도입해 보안을 강화해야 한다.
그런데 포켓몬고는 난독화가 이뤄지지 않아 소스코드를 추출하기 용이하다는 설명이다. 문제는, 사이버 공격자들이 해당 소스코드를 이용해 앱 위변조를 하거나 악성코드를 심을 수 있고 복제앱을 만들어 이용자 정보를 탈취할 수 있다는 점이다.
포켓몬고가 아직 출시되지 않은 중국시장에서는 복제판이 이미 출시돼 중국 앱스토어의 상위권을 휩쓸고 있다. 소스코드가 유출돼 단시간 내 복제판이 만들어질 수 있다는 방증이다.
최근 일본 온라인 보안기업인 맥카피가 발견한 포켓몬고 가짜앱은 정품앱과 동일한 배포처 표시 등으로 구분하기 어렵다. 이 앱은 문자메시지 및 통화 이력 조회 동의를 요구하고 있고, 스마트폰을 조작해 사용자 의지와 관계없이 사진 촬영 및 문자메시지를 보내는 것으로 알려졌다.
이 관계자는 “해외 웹사이트에서는 포켓몬고를 리버스 엔지니어링(역공학) 하는 방법을 단계별로 상세하게 알려주는 글도 찾아볼 수 있다”며 “모바일 게임 보안 부재는 사실 포켓몬 고만이 가지고 있는 문제가 아니며, 구글 플레이 앱스토어의 Top 100 무료 게임 앱들 중 87%가 디컴파일이 가능하다”고 지적했다.
또한, 한국을 비롯해 포켓몬고가 아직 출시되지 않은 국가의 이용자들은 공식 앱스토어가 아닌 다른 경로로 게임을 다운받는 경우가 많다. 이 경우, 포켓몬고를 위변조한 악성앱들의 위협에 노출된다.
예를 들어, 포켓몬고 이름을 차용해 이용자 혼란을 야기하고 앱을 다운받을 때 스마트폰을 악성코드에 감염시키고 최악의 경우 랜섬웨어로 변할 수 있다.
공식마켓을 이용하지 않고 포켓몬고 애플리케이션 패키지 파일(APK) 파일을 직접 내려받는 행위도 매우 위험하다. 스마트폰 내 중요한 정보를 외부로 유출하기 위한 악성코드를 내포한 APK파일이 다수 발견되고 있기 때문이다.
무료 포켓코인을 이용한 사기수법도 등장했다. 포켓몬고 이용자는 인앱 결제를 통해 현금 지불로 가상화폐인 포켓코인을 구매할 수 있다. 포켓코인은 포켓몬을 자신의 장소로 유인해 포획하거나 희귀 포켓몬으로 부화될 수 있는 에그 등 아이템을 얻기 위해 사용된다.
시만텍 관계자는 “사용자가 포켓몬고 무료 코인 생성기를 검색하면 고전적인 설문 사기로 연결되는 링크가 결과로 뜨게 되는데, 이러한 링크는 게임포럼 사이트의 포스팅에서부터 사기용도로 제작된 사이트에까지 광범위하게 퍼져있다”며 “사기수법 결과는 대부분 SNS에 올라온 포스팅이나 포켓코인 해킹툴이 적용됐다고 판단되는 영상들로 나타난다”고 전했다.
포켓몬고가 실시간 위치정보, 촬영 사진, 개인정보를 수집하고 있는 만큼 국가 안보를 위협할 수 있다는 불안감도 팽배해지고 있다. 러시아에서는 미국 CIA의 정보수집을 위해 해당 게임이 만들어졌다는 음모론이 일고 있다.
포켓몬을 잡기 위해 군사시설 등 일반인 출입 제한 구역에 접근하게 되면 중요 정보가 유출되기 쉽다. 이에 인도네시아 정부는 국가적 안보 위협으로 이 게임을 규정했고, 쿠웨이트 정부는 일부 장소에서 포켓몬고 사용을 금지시켰다.
홍민표 에스이웍스 대표는 “세계적인 인기를 끌고 있는 포켓몬고의 보안 부재는 출시 직후부터 꾸준히 이슈가 됐으나 아직 제대로 해결되지 않은 상태라 아쉽다”며 “적절한 모바일 보안을 통해 복제판 및 위변조 앱 제작을 방지하면 앱과 게임 이용자 모두를 안전하게 보호할 수 있다”고 조언했다.
<최민지 기자>cmj@ddaily.co.kr
오픈AI, o1보다 더 강력한 o3 예고…개발자·연구자 대상 사전 테스트 실시
2024-12-21 08:02:48뒤숭숭한 정국에도 매서운 이복현… "금융지주사 검사 결과 발표, 원칙대로 '매운맛' 유지"
2024-12-20 17:36:50[DD퇴근길] 우티, 티맵 손 떼고 우버 단독체제…넷플릭스에 올라탄 SBS
2024-12-20 17:11:09