페이스북이 인수한 '왓츠앱' 메신저로 꾸며진 앱이 구글의 공식 안드로이드 앱 장터에 정상적으로 등록됐다가 최근 삭제됐다. 100만명 이상이 이를 내려받았다.
영국 더레지스터는 지난 3일 보도를 통해 100만명 이상의 안드로이드 사용자가 공식 구글 플레이 스토어에 올라온 가짜 왓츠앱에 속았다고 보도했다. [☞원문보기]
보도에 따르면 가짜 앱은 진짜같은 외양과 동작을 보여 준다. 하지만 손쉬운 돈벌이를 위해 광고를 끼워넣은 형태로 교묘하게 부당이득을 챙길 수 있게 만들어졌다.
미국의 유명 인터넷커뮤니티 사이트 '레딧' 이용자가 가짜 앱을 발견했다. 덱스터지니어스(DexterGenius)라는 이용자는 앱을 내려받아 디컴파일한 결과를 설명했다.
가짜 앱은 인터넷접속이라는 최소권한만을 요구하지만, 기본적으로 이는 광고표시용 래퍼(wrapper, 프로그램 내용을 유지한 채 추가기능을 갖춘 껍질을 덧씌우는 기술)다.
가짜 앱은 whatsapp.apk라 불리는 두번째 apk를 내려받는 코드를 갖고 있다. 또 이 앱은 자신의 이름을 표시하지 않고 빈(blank) 아이콘을 보임으로써 스스로를 감춘다.
보도는 가짜 앱이 삭제됐다고 했지만, 검색해 보면 다시 발견된다. 가짜 앱의 제작자는 가짜 앱의 제작자 정보를 WhatsApp Inc라는 문자열로 기재해, 마치 실제 페이스북에 인수된 그 회사처럼 꾸몄다.
어떻게 가짜 제작자가 진짜 왓츠앱 제작사처럼 보일 수 있었을까. 제작사 이름을 등록하는 자리에 WhatsApp Inc 문자를 입력하고 끝에 2바이트 공백문자 코드(0xC2 0xA0)를 삽입한 결과다.
가짜 왓츠앱 메신저가 공식 구글 플레이 스토어에서 앱 다운로드 건수 100만건 이상을 기록하는동안, 구글은 이런 부정행위를 포착하는 데 실패했다.
이처럼 다른 제작자가 만든 앱에 광고를 덧씌운 채 정상적인 원래 앱인 것처럼 제공하는 행위엔 범죄 소지가 있다.
관련기사
- 신용현 “민원24·크롬 사칭 악성 앱 급증”2017.11.05
- 악성앱 깔린 안드로이드 기기 비중 늘어2017.11.05
- 가짜 안드로이드 백신 판별법2017.11.05
- 구글 플레이, 앱 순위 조작 등 불법 감시 강화2017.11.05
구글 측은 더레지스터의 관련 문의에 해당 사안을 조사하고 있으며 가짜 앱을 올린 제작자는 퇴출될 것이라고 답했다.
앱 제작자 이름에 이미 존재하는 유명 제작자 이름을 따라 쓰고 공백문자를 넣는 식으로 사칭을 하는 수법이 재현되지 않도록 할 장치도 필요해 보인다.