中핀둬둬, 앱 내부에 ‘사용자 감시’ 악성 SW 탑재

[이데일리 방성훈 기자] 중국 가장 인기있는 쇼핑 애플리케이션(앱) 중 하나인 ‘핀둬둬’의 앱에 사용자를 감시할 수 있는 악성 소프트웨어(멀웨어)가 내장돼 있는 것으로 조사됐다.

(사진=핀둬둬 홈페이지 캡쳐)

CNN은 2일(현지시간) 아시아, 유럽, 미국 등의 사이버 보안팀 6곳, 핀둬둬의 전·현직 직원 등과 조사를 진행한 결과 핀둬둬의 앱 내부에 안드로이드 운영체제(OS)의 취약점을 악용하는 멀웨어가 설치돼 있는 것을 확인했다고 보도했다. 멀웨어가 설치되면 휴대폰 내 보안 프로그램을 우회해 기기에 저장된 다른 앱의 활동을 모니터링하고 알림을 확인할 수 있다. 또한 개인 메시지를 읽거나 기기 설정을 변경할 수도 있다.

멀웨어는 주로 핀둬둬가 판매를 촉진하기 위해 사용자 또는 경쟁사를 염탐하는데 이용한 것으로 전해졌다. 중국 내 핀둬둬 앱 이용자는 7억 5000만명이 넘는다. CNN은 전문가의 말을 빌려 “핀둬둬의 멀웨어는 한 번 설치하면 제거하기가 어렵다”며 “소비자 동의 없이 방대한 양의 사용자 데이터를 수집하는 등 개인정보보호 및 데이터 보안을 위반했다”고 지적했다.

이와 관련, 앞서 구글은 지난달 21일 핀둬둬 앱에서 악성코드를 발견했다면서 플레이스토어에서 다운로드 서비스를 중단하고 조사를 진행하라 것이라고 밝힌 바 있다. 당시 구글은 플레이스토어에서 다운로드 받은 핀둬둬 앱에 대해선 당장 제거할 것을 촉구했다.

이번 소식은 정찰풍선 사건으로 미·중 갈등이 심화하고 틱톡 등 중국 앱에 대한 국가안보 위협 우려가 확대하는 가운데 전해졌다. 미 정부와 의회는 사실상 중국 앱을 겨냥해 국가안보에 위협이 될 수 있는 외국 정보통신회사가 자국에서 사업할 수 없도록 제한하는 방안을 추진하고 있다. 중국 정부가 앱을 이용해 미국 사용자를 감시하거나 미국 내 여론조작을 시도할 수 있다는 우려에서다. 핀둬둬가 미국에 출시한 쇼핑 앱 ‘테무’에도 영향을 미칠 것으로 보인다.

핀란드 사이버 보안업체 위드시큐어의 미코 히푀넨 최고연구책임자는 “접근해선 안되는 항목에 대한 접근 권한을 확대하려는 이러한 주류 앱은 본 적이 없다”며 “이는 매우 이례적인 사례로 핀둬둬에게는 치명적인 일이 될 것”이라고 말했다.