2023 악성 앱 리포트 공개
개발자 신원확인 강화해 33만명 계정 해지
플레이스토어 외 설치 앱까지 실시간 탐지
구글 "머신러닝·AI 탐지프로그램 투자 강화"
구글은 30일 이 같은 내용의 ‘2023년 악성 앱 리포트’를 공개했다. 리포트에 따르면 구글은 지난해 강화한 보안 기능, 정책 업데이트, 개선된 머신러닝, 앱 리뷰 프로세스 등에 대한 투자를 통해 내부 정책을 위반한 앱 228만개를 구글플레이에 게시되지 못하게 했다.
구글. (사진=REUTERS) |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
또 구글플레이에 등록한 개발자에게 더 많은 신원 정보를 요구하는 방식으로 개발자에 대한 관리 프로세스를 강화했다. 이를 통해 멀웨어 정책과 반복적으로 심각한 정책 위반을 반복한 개발자 계정 33만3000여개를 퇴출했다. 이밖에도 앱의 성능 대비 지나치게 많은 권한을 요구한 앱 약 20만개에 대해선 반려하거나 수정을 요구했다. 이를 통해 백그라운드 위치 정보나 SMS 액세스 등 민감한 권한이 부적절하게 사용되는 것을 방지했다.
차단된 사기성 앱들은 국가별로 다소 상이했다. 한국에선 사기를 위해 유명 앱을 모방한 카피캣(Copycat) 앱들에 대한 차단이 많았고 일본의 경우 노인을 대상으로 한 사기 앱이, 대만과 홍콩의 경우 투자사기 앱들이 상대적으로 많았던 것으로 전해졌다.
스팸 보호조치 강화…링크 안 열고도 내용 확인
사기성 앱들은 최근 1~2년 간 스마트폰 증가와 함께 급증한 것으로 알려졌다. 아시아태평양 지역에선 특히 인도, 태국, 싱가포르에서 급증하고 있었다. 이들 세 국가는 공공·금융기관의 권위가 높고 스마트폰 사용자가 많다는 공통점이 있다. 아울러 상대적으로 디지털 격차가 크다 보니 일부 국민들의 경우 디지털 문해력이 상대적으로 부족해 앱을 통한 사기에 더욱 취약할 수밖에 없다.
구글은 그동안 ‘SAFE’ 원칙에 따라 이용자와 개발자 모두를 위한 환경을 만들 수 있도록 한다. SAFE는 △이용자 보호(Safeguard our Users) △개발자 보호 지지(Advocate for Developer Protection) △책임감 있는 혁신 촉진(Foster Responsible Innovation) △플랫폼 방어 개선(Evolve Platform Defence)의 앞글자에서 따왔다.
구글은 이 원칙에 따라 구글플레이에서의 기술과 정책에 대해 지속적으로 업그레이드를 해왔다. 특히 악성앱 퇴출을 위해 머신러닝과 AI를 이용한 탐지 프로그램에 상당한 투자를 해왔다. 이를 통해 다양한 방식을 통해 앱의 악성 유무를 파악하고 있다. 이와 함께 명확한 정책 가이드라인을 만들었다.
아울러 여러 단계의 보안조치를 취하고 있다. 우선 사기성 문자메시지를 막기 위해 스팸 보호조치를 강화했다. 사기 링크에 이용자가 사전에 파악할 수 있도록 알려지지 않은 URL에 대해선 경고조치를 취하는 한편 웹사이트 방문 전 미리 화면을 볼 수 있는 기능도 추가했다.
강화된 구글플레이 프로텍트, 실시간 스캐닝 통해 악성앱 탐지
플레이스토어에서의 정상적인 루트 외에 다른 루트를 통해 앱을 내려받는 경우 이용자들이 앱 설치 이전 경각심을 가질 수 있게 수차례의 경고조치도 하고 있다. 안드로이드 OS 자체적으로 앱의 유해성을 판단하는 ‘구글플레이 프로텍트’ 기능도 있다.
최근엔 앱을 통한 금융사기 범죄가 많은 인도, 태국, 싱가포르에선 당사국 정부와 협력을 통해 자동 블로킹 기능을 추가한 새로운 구글플레이 프로텍트에 대해 테스트를 진행하고 있다. 새로운 보안 기능은 플레이스토어 외부에서 앱을 설치하는 이용자를 보다 잘 보호할 수 있도록 코드 수준에서 실시간 스캐닝을 지원한다.
이와 별도로 구글은 SDK(소프트웨어 개발도구) 제공자와 지속적으로 협력하는 방식으로 민감한 데이터 접근과 공유를 제한해 대규모 이용자의 개인 정보 보호에 나섰다. 이를 통해 앱 79만개 이상에 영향을 미치는 31개 이상의 SDK에 대한 개인정보 보호 조치를 강화했다. 안드로이드 시스템 전반의 앱 600만개에서 사용되는 SDK를 포함하는 구글플레이 SDK 색인도 크게 확장했다.
정책도 강화했다. 구글은 지난해 생성형 AI 앱, 방해가 되는 알람, 확장된 개인정보보호에 관한 플레이 정책을 변경했다. 또 개발자가 구글플레이에서 앱을 제공하기 전에 새로운 테스트 요구 사항을 적용해 신규 개인 개발자 계정에 대한 기준을 높였다. 앱을 테스트하고 피드백을 받고 출시하기 전에 모든 것이 준비됐는지 확인하는 방식이다.
또 이용자에게 개인 데이터에 대한 더 많은 통제권을 제공하기 위해 계정 생성을 지원하는 앱의 경우 인앱 환경과 온라인에서 계정 및 데이터 삭제를 지원하는 옵션을 제공하도록 했다. 이를 통해 이용자는 앱을 다시 설치하지 않고도 계정 및 데이터 삭제를 요청할 수 있다.
구글은 최근 구글플레이에서 사기성 투자 및 가상화폐 거래소 앱을 업로드하려고 이용자들에게 고의적으로 왜곡된 정보를 전달한 사기범 2명을 상대로 미국 연방법원에 소송을 제기하기도 했다. 구글 측은 “소송은 악의적인 행위자들에게 책임을 묻고 이용자를 편취하려는 자들을 적극적으로 추적하겠다는 메시지를 보낸 중요한 단계”라고 강조했다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.