보이스피싱에 쓰인 '국민서비스포털'이 앱스토어에 올라와있던 모습. 취재가 시작 된 후 해당 어플은 앱스토어에서 삭제됐다. 백재연 기자

‘보안의 성역’으로 여겨졌던 애플 앱스토어가 보이스피싱 범죄의 통로로 이용된 것으로 확인됐다. 까다로운 심사 과정을 거치는 것으로 알려진 앱스토어에 정부 기관을 사칭한 사기 애플리케이션(앱)이 등록돼 일반 시민의 개인정보를 탈취하려 한 사례가 확인됐다. 이용자의 각별한 주의가 요구된다.

울산에 거주하는 직장인 고모(31)씨는 지난 23일 ‘010’으로 시작하는 발신번호로 전화 한 통을 받았다. 모르는 번호였다. 자신을 법무부 관계자라고 소개한 상대는 “본인 앞으로 온 사건 관련 공문이 반송됐다”며 “가까운 법원에 방문해 직접 수령하거나, 비대면으로 확인하려면 전용 앱인 ‘국민서비스포털’을 설치해야 한다”고 안내했다.

평소 보안에 민감했던 고씨였지만 상대방이 안내한 앱 설치 경로가 ‘애플 앱스토어’라는 점에 의심을 거뒀다고 한다. 애플은 앱스토어에 올라오는 모든 앱과 업데이트 버전에 대해 엄격한 사전심사를 거친다고 강조해왔기 때문이다. 자동화 검사로 악성코드 스캔과 기본적 안정성 등을 먼저 확인한 뒤 앱 심사 담당자가 한 번 더 확인하는 식이다. 애플 공식 홈페이지에서는 앱스토어를 ‘사용자가 안심하고 선호하는 앱을 다운로드하거나 새로운 앱을 발견할 수 있는 공간’이라고 설명하고 있다.

해당 앱은 사건 번호를 조회하기 위해 로그인이 필요하다며 이름, 연락처, 주민등록번호 입력을 요구했다. 심지어 카메라 권한 승인을 요청하더니 “화면 정면을 응시한 뒤 고개를 옆으로 돌려달라”는 등 정교한 안면인식 인증 절차까지 요구했다.

고씨는 “앱에서 확인한 공문에 ‘대검찰청 총장 심우정’이라는 이름이 떠 있었는데 평소 기사에서 본 직함과 일치하지 않는 점을 이상하게 여겨 앱을 삭제했다”고 말했다. 그는 “애플 앱스토어는 절차가 까다로워 검증된 앱만 올라온다고 믿었다”며 “공식 마켓에 사기 앱이 등록돼 있을 줄은 꿈에도 몰랐다”고 토로했다.

고씨는 즉시 경찰에 신고한 뒤 계좌 정지 및 카드 재발급 등 긴급 조치를 취했다. 고씨는 “경찰 쪽에서 전형적인 스미싱 범죄라고 설명해주며 사이버 수사대로 연결해줬다. 현재 사이버 수사대에서 수사 중”이라고 설명했다.

해당 앱은 실제 정부 기관과는 무관한 민간 개발자가 등록한 것으로 확인됐다. 겉으로는 국내 언론사의 뉴스 정보를 제공하는 일반적인 정보 공유 앱처럼 위장했으나, 내부에는 특정 조건에서 개인정보를 탈취하는 기능을 숨겨둔 채 애플의 심사를 통과한 것으로 분석된다.

해당 앱은 본지 취재가 시작된 직후인 26일 오전 앱스토어에서 삭제 조치됐다. 애플 측은 “부정 의심 개발자가 사용하는 일반적인 수법 중 하나로 앱 리뷰 심사를 통과한 후에만 활성화되는 숨겨진 기능을 코딩에 포함한 것으로 보인다”며 “애플은 이런 과정을 면밀히 모니터링하고 있다”고 전했다.

https://n.news.naver.com/article/005/0001839688