세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
앱스토어에 등록된 피트니스 앱, 사용자 몰래 120달러 결제
  |  입력 : 2018-12-05 11:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
애플 사용자의 터치 ID 악용해 결제 시도…결제 창은 1초만 화면에 나타나
평점도 높고 긍정적인 사용자 리뷰도 다수…전통적이나 효과적인 수법


[보안뉴스 문가용 기자] 피트니스 앱으로 위장한 채 사용자들로부터 돈을 뜯어내고 있던 앱 두 가지가 적발됐다. 사용자의 건강 상태를 추적하는 게 아니라, 애플의 터치 ID(Touch ID) 기능을 사용해 iOS 사용자들을 피해자로 둔갑시켰다고 한다.

[이미지 = iclickart]


이 두 가지 앱의 이름은 피트니스 밸런스 앱(Fitness Balance App)과 칼로리 트랙커 앱(Calories Tracker App)이다. 그냥 보기에는 평범한 여느 앱과 다르지 않다. 체질량지수를 계산해주고, 매일의 칼로리 섭취량을 추적해주며, 사용자들에게 물을 자주 마시라고 알려준다. 또한 iOS 스토어에서의 고객 평점도 좋은 편에 속한다.

하지만 일부 레딧 사용자들과 보안 업체 이셋(ESET)의 전문가들이 “이 두 개의 앱이 돈을 훔친다”는 주장을 제기했다. 한 사람으로부터 120달러 정도의 돈이 이 앱을 통해 사라졌다는 것이었다. 이 때 사용되는 것이 애플의 터치 ID 기능이었다.

피해자들에 따르면 “앱을 시작했더니 개인화된 칼로리 추적 기능을 사용해 최적의 다이어트 방법을 권하고자 하니 지문 스캔을 해달라”는 창이 뜬다고 한다. 사용자가 이를 따라 터치 ID를 조작하면 앱이 또 다른 팝업 창을 띄운다. 119.99달러에 대한 지불을 확인하는 내용이다. 그런데 문제는 이 창이 딱 1초만 화면에 뜨고 사라진다는 것이다.

“만약 사용자가 애플 계정과 신용카드 혹은 직불카드를 연동시켜 놨다면, 이러한 거래가 인정되고 돈이 성공적으로 빠져나가게 됩니다.” 이셋의 멀웨어 분석가인 루카스 스테판코(Lukas Stefanko)의 설명이다.

또한 사용자에게 지문 스캔을 요청하는 팝업은 지속적으로 뜬다. “사용자가 거부하면 주기적으로 팝업 창이 나타납니다. 앱을 사용하고 싶다면 이 팝업 창을 계속 봐야 한다는 것이죠. 지문을 한 번 스캔하거나, 계속 ‘확인’ 버튼을 눌러야 하는 불편을 겪어야 합니다.”

놀랍게도 이런 피트니스 밸런스 앱의 사용자 평점은 평균 4.3점(5점 만점)이다. 심지어 굉장히 긍정적인 리뷰 글을 남긴 사용자도 스무 명 가까이 된다. 스테판코는 “그러니 이 앱을 가짜로 의심하기가 매우 힘들다”고 말한다. “알고 보면 뻔한 수인데 말이죠. 가짜 리뷰를 등록하고 평점을 올리는 건 전통적인 수법입니다만, 이렇듯 효과가 분명합니다.”

피해자들은 앱 개발사에 연락을 해 돈을 돌려달라고 요청했다. 하지만 돌아오는 것은 “문제를 인지하였으며 해결을 위해 노력하고 있다”는 기계적인 답변뿐이었다. 현재 이 앱은 애플 스토어에서 삭제된 상태며, “수법을 보건데 두 가지 앱 모두 같은 사람이 만들었을 가능성이 높다”고 한다.

하지만 스테판코는 이와 비슷한 사례가 앞으로도 더 나올 가능성이 높다고 말한다. “아마 우리가 미처 발견하지 못한 사기성 앱들이 스토어에 더 있을 겁니다. 없다고 해도 더 생길 것이고요. 왜냐하면 사기 치는 데에 필요한 기술이 딱히 없고, 원리가 간단하며, 효과가 좋거든요.”

한편 애플 측은 아직까지 이 앱에 대해 별다른 입장 표명을 하고 있지 않다. 애플은 앱스토어에 앱을 등록하기 전에 까다롭게 심사하는 것으로 알려져 있지만, 문제가 하나도 없던 것은 아니었다. 앱 프라이버시 및 보안 침해 문제에 일부 연루된 적이 있다.

예를 들어 지난 9월에는 애드웨어 닥터(Adware Doctor)라는 앱을 스토어에서 삭제한 바 있다. 이 앱 역시 최고의 평가와 다운로드 기록을 세운 앱 중 하나인데, 애플의 샌드박스 관련 보안 정책을 위반하고 있었다. 보안 전문가들이 이러한 사실을 공개하기 전까지 앱은 해당 앱을 스토어에 그대로 방치하고 있었다.

스테판코는 “악성 앱들을 스토어에서 찾는다는 건 쉬운 일이 아니”라며 “애플이 스토어에 백신 툴 사용을 허락하지 않고 있어 하나하나 검사하는 수밖에 없다”고 설명한다. “그래서 사용자들이 한 사람 한 사람 주의해야 합니다. 꼼꼼하게 앱 리뷰를 읽어보고, 설명서를 살피며, 인터넷에서 어떤 소문이 나고 있는지 알아봐야 한다는 것이죠. 애플 스토어에서의 보안 장치는 애플과 사용자 자신뿐입니다.”

3줄 요약
1. 애플 스토어에 등록된 두 가지 피트니스 앱 : 피트니스 밸런스 앱, 칼로리 트랙커 앱.
2. 둘 다 사용자의 지문 스캔 유도한 후, 120달러 결제.
3. 사기 수법이 간단하고 효과 좋아 앞으로도 종종 등장할 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술