모바일-소셜게임, 앱 내 결제도 위험

일반입력 :2013/10/18 17:54

손경호 기자

스마트폰용 게임, 페이스북 등이 제공하는 소셜 게임 사용자가 자주 사용하는 '앱 내 결제(in app purchase)'가 해커들의 먹잇감으로 부상하고 있다.

에스이웍스(대표 홍민표)는 스마트폰 뱅킹앱, 소액결제 등 뿐만 아니라 앱 자체에서 결제가 이뤄지는 방식에서도 금전 탈취를 노린 공격이 발생하고 있다고 18일 경고했다.

시장조사기관 ABI리서치 조사에 따르면 지난 2011년 이미 미국 모바일 및 소셜 게임 시장에서 앱 내 결제액은 9억7천만달러로 이 가운데 스마트폰 앱 수익만 39%를 차지하는 것으로 나타났다. 오는 2015년까지 앱 내 결제액은 56억달러 규모로 확대돼 스마트폰 앱 수익이 64% 수준까지 성장할 것으로 전망된다.

실제로 글로벌 게임 개발사인 '아카디움'은 올해 자사의 앱 내 결제가 모바일 게임의 43%, 페이스북 게임의 38%를 차지하고 있다고 밝힌 바 있다. 최근 대다수 모바일 및 소셜 게임사 주 수익이 앱 내 결제 방식을 통해 이뤄지고 있는 추세다. 앱 내 결제는 특성상 웹에 비해 평균 거래액 자체가 낮아 수익성에 대해 과소 평가되고 있지만, 향후 앱 내 결제 활성화로 이를 향한 보안 공격이 급증할 것으로 내다보고 있다. 카카오 게임, 구글 플레이 스토어를 통해 제공되는 앱들이 모두 공격 대상이 될 수 있는 셈이다.

현재 앱 내 결제가 이뤄지고 있는 앱에서 가장 활발하게 발생하는 공격은 소스코드 위변조 및 메모리 데이터 변조다. 손쉽게 소스코드를 탈취하거나 복제해 악의적인 행위를 하는 코드를 집어 넣어 정보를 탈취해가는 형태다. 주로 루팅(안드로이드 기기에서 관리자 권한을 획득하는 것)된 단말기를 통해 발생하는 경우가 많다.

또한 앱스토어 인증 우회 공격도 앱 개발사들의 매출에 큰 영향을 주고 있다. 실제로 사용자가 구매하지 않았는데도 아이템이나 앱 구매가 이뤄진 것처럼 속이는 것이다. 특히 사용자가 가장 많은 인기 앱일수록 공격은 더욱 빈번하다.

더 큰 문제점은 해커가 아니더라도 누구나 쉽게 앱 해킹을 할 수 있다는 점이다. 인터넷 상에서도 간단한 인터넷 검색 만으로 앱 변조 툴을 설치해 실시간 데이터 변조 등이 가능하기 때문이다.

관련기사

홍민표 에스이웍스 대표는 금전적 이익이 집중되는 곳이 해커들의 타깃이 되는 경우가 많아 유저수가 많은 앱 개발사일수록 자연스럽게 많은 공격대상이 될 수 있다며 해킹 공격을 방지하기 위해 해커들이 소스코드를 위변조 및 메모리 해킹할 수 없도록 보안기술을 적용해 보안성을 높여야 한다고 밝혔다.

에스이웍스는 모바일 앱 보안 스타트업으로 지난 7월 소프트뱅크, 퀄컴으로부터 총 20억원의 투자를 유치한 바 있으며, 스타트업 전문 투자사인 패스트트랙아시아의 지원을 받고 있다. 또, 글로벌 시장 확대를 위해 미국 현지 법인 설립에도 나섰다.