삼성, 모토로라, 아수스, 그리고 LG전자의 일부 안드로이드 스마트폰이 해킹돼 악성 앱이 설치된 채 고객에게 판매된 것으로 알려졌다.
 
마블 시큐리티(Marble Security) 창립자이자 CTO인 데이비드 제반스(David Jevans)는 자사의 모바일 보안 관리 플랫폼을 이용 중인 한 고객으로부터 해당 제품이 일부 직원들의 새 스마트폰 기기에 설치된 넷플릭스(Netflix) 앱을 악성 앱으로 탐지했다는 항의를 받고 이러한 문제를 발견했다.
 
넷플릭스는 스마트폰에서 TV 프로그램과 영화를 시청할 수 있는 구독 서비스를 제공하는 앱으로, 마블 시큐리티 조사 결과 이는 넷플릭스를 위장한 악성 앱으로 드러났다. 해당 앱은 비밀번호와 신용카드 정보를 수집해 러시아에 있는 서버로 이를 전송하는 것으로 나타났으며, 회사측은 구매 전 이미 악성 넷플릭스 앱이 설치돼 있었다고 주장했다.
 
마블 시큐리티는 조사를 위해 다른 고객들의 스마트폰도 검사했으며, 동일하게 다수의 새 스마트폰에서 이 악성 앱이 설치돼 있는 것을 발견했다.
 
악성앱이 설치된 것으로 조사된 스마트폰 기기는 삼성 갤럭시 노트와 태블릿, 갤럭시 3과 4 및 아수스 태블릿, LG 넥서스 S, 그리고 모토로라 드로이드 등이다.
 
이에 삼성측은 자사 혹은 미국 협력사가 해당 기기에 판매 전 넷플릭스 앱을 설치하지 않았다고 밝혔다. 다만, 제반스가 스마트폰을 판매한 유통 업체들을 밝히지 않아 이를 판매한 업체들 역시 이 사실을 알고 판매를 했는지 여부는 알 수 없다. 악성코드에 대한 검사를 하지 않은 채 애플리케이션 번들로 이를 설치했는지 아니면 이미 앱이 설치돼 있는 스마트폰을 판매했는지 구체적인 사실은 밝혀지지 않았다.
 
문제는 전자제품을 유통하는 과정에서 이러한 보안 취약점이 발생할 수 있으며 또한 존재하고 있다는 점이다. 이를 악용한다면 피해에 대한 파급력이 크기 때문에 보안성 강화 측면에서 이 문제는 논의돼야 할 사안이다. 유통 단계마다 보안성 검사를 시행하는 것이 필요해 보인다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com