지난주 러시아 해커인 알렉세이 보로딘이 ‘앱 내 결제(In App Purchase, IAP)’ 무료이용법을 공개하면서 애플은 해당 서버에 대한 IP를 차단하는 등의 조치를 취했으나 확실한 해결책을 찾지 못해 발만 동동 구르고 있다. 해결책을 못 찾는 애플 탓에 결국 앱 개발자들만 피해를 보고 있다는 지적이 일고 있다.
16일(현지시간) 외신은 애플이 알렉세이 보로딘의 서버 IP주소를 차단하고 서버 유지비용을 조달하기 위해 사용된 페이팔 계정을 막았다고 보도했다. 이외에도 애플은 보로딘이 공개한 앱 내 결제 무료이용법에 대한 동영상이 저작권을 침해했다며 유튜브 내에 방송 금지시킨 것으로 알려졌다.
애플의 조치는 충분하지 않았다. 보로딘은 다른 나라로 서버를 옮겼고, 페이팔의 대체수단으로 P2P방식을 이용해 주고받는 전자화폐인 비트코인(BitCoin)을 통해 서버유지비용을 기부 받기 시작했다. 무료이용법을 공개한 홈페이지(www.in-appstore.com)는 심지어 광고를 받기까지 했다.
보로딘은 “애플이 애플리케이션프로그램인터페이스(API)를 고치거나 새로운 차단법을 찾기를바란다”고 자신의 홈페이지를 통해 밝혔다. 그는 넥스트웹과 인터뷰에서 “아직까지 애플이 접촉하지 않았다”며 “쿠퍼티노(애플을 지칭) 가지고 놀기는 계속될 것”이라고 말했다.
외신은 이 사건의 가장 큰 문제는 iOS개발자들이 자신들의 앱을 보호할 어떤 수단도 갖지 못한다는 점이라고 꼬집었다. ‘앱 내 결제’를 원래 비용을 지불하지 않고도 일부 서버 운영비를 보태는 것만으로 사용할 수 있어 앱 개발자들의 수익에 타격을 줄 수밖에 없다는 지적이다.
실제로 앱 관련 수익의 70%를 개발자들이 가져가는 애플의 정책을 고려하면 앱 내 결제 무료이용법을 통한 피해는 대부분 앱 개발자들에게 돌아가는 셈이다.
보로딘의 우회기술은 이용자들이 가짜 앱 내 결제용 서버를 전자 결제할 수 있도록 인증 한 뒤 맞춤형 도메인네임시스템(DNS) 서버를 이용해 마치 애플이 결제를 승인한 것처럼 착각하게 만든다.
더구나 한번 영수증을 만들면 추가적인 인증 없이도 앱 내 결제를 이용할 수 있다는 점도 문제로 지적되고 있다.
이용자들은 이 서비스를 이용하기 위해 자신의 애플ID와 비밀번호 유출 위험을 감수해야한다.
애플은 이용자들의 ID와 비밀번호를 암호화하지 않고 자사 서버로 전송한다. 때문에 앱 내 결제 무료이용법을 사용하는 이용자들의 개인정보는 보로딘의 서버에 고스란히 저장된다.
관련기사
- iOS 앱 내 결제 무료이용법 공개 파문2012.07.17
- MS, 애플스토어에 맞불...MS스토어 연다2012.07.17
- 애플, NFC 도입 꺼리는 이유 '보안 불안'2012.07.17
- 애플 앱스토어, 첫 악성코드 앱 발견2012.07.17
접근수준, 애플리케이션 종류, 버전, 기기의 고유식별자 번호, 앱 내 결제 횟수, 앱 내 결제 제공자의 이름, 사용하고 있는 언어, 이용자의 위치 정보 등의 세부적인 정보까지 노출돼 범죄에 악용될 소지가 크다고 외신은 지적했다.
보로딘의 서버인 in-appstore.com을 운영하거나 이 서버를 해킹한 사람들이라면 이용자들의 모든 애플 관련 개인정보를 확보할 수 있게 되는 셈이다.