베라코드는 애플과 구글 앱 스토어에서 이용할 수 있는 인기있는 애플리케이션 40만 개 이상을 분석했는데, 이 가운데 약 3%인 1만 4,000개의 앱들이 보안 문제를 갖고 있는 것을 발견했다.
예를 들어, 1만 4,000개 위험한 앱 가운데 85%는 위치, 연락처, 문자 메시지와 같은 민감한 데이터를 노출했다.
일부는 좀더 심각했다. 약 37%의 앱들은 해당 기기의 루트나 탈옥 여부를 파악하고, 악성코드를 무력화하거나 다른 프로그램을 실행하는 등 의심스러운 행동들을 한다.
그리고 35%는 브라우저 이력과 같은 개인 정보에 접속해 이 정보들을 의심스러운 곳으로 보낸다.
많은 사용자들이 무료 인기 애플리케이션에서의 애드웨어와 그의 사촌격인 스파이웨어를 용인하고 있다.
베라코드 모바일 부문 부사장 테오도라 티토니스는 "이 앱들이 무료일 때, 그 사용자는 제품이 된다"고 말했다.
그러나 일부 애플리케이션들은 훨씬 더 많은 것들을 가져간다. 예를 들어 전등 앱을 사용할 때 그 앱은 상당히 중요한 위치 데이터를 온 세계에 보내고 있다.
그럼에도 불구하고 스토어에 있는 앱들은 지금 현재에도 다운로드되고 있는데, 기업에서 중요한 점은 이런 앱들이 회사 직원들의 기기에 깔린다는 점이다.
티토니스는 예시로 구글 플레이 스토어를 통해 이용할 수 있는 안드로이드 폰 용 오디오북 앱인 레이지 리슨(Lazy Listen)을 제시했다. 무료이며 중국어 앱인 이 앱은 센젠스 원라인 테크놀로지(Shenzen's Oneline Technology Co., Ltd)에서 제공하는 것으로, 이미 50만~100만 대의 안드로이드 스마트폰에 설치됐다.
이 앱은 전화가 걸려올 때, 메시지를 보내기 위해, 음성을 기록하기 위해, 루트 파일 시스템을 읽기 위해 사용자의 위치를 추적한다. 또한 인증 정보를 획득하기 위해 사용자와 이 기기, 그리고 가입 통신업체에 대한 정보를 확인한다.
티토니스는 "이 행동을 분석해보면 이 정보들이 고객들의 경험 향상을 위해 사용되지 않는다는 것을 알 수 있다"고 말했다.
이 정보들은 원 서버로 옮겨져 이 앱을 모니터링하는 데 사용되어질 수 있다. 또한 잠재적으로 알지못하는 곳이나 신뢰성이 없는 서드파티 데이터 브로커들에게 팔릴 수도 있다.
베라코드의 클라우드 기반 모바일 앱 보안 애플리케이션은 VM웨어의 에어와치(AirWatch), 모바일아이론(MobileIron)과 IBM의 파이버링크(Fiberlink)와 같은 모바일 기기관리 업체를 통해 사용된다.
예를 들어 보안 평가에서 떨어진 블랙리스트 앱을 자동적으로 정리한다. 기업들은 사용자에게 이 앱이 위험하다고 경고하거나 회사 이메일에 접속하는 걸 제한할 수 있다. 심지어는 이 앱이 기업에게 보다 높은 위험성을 가하는 경우 특정 기기에서 지울 수도 있다.
티노니스는 기업들에 의해 블랙리스트에 등재되어 있는 대표적인 앱 3개를 공개했는데, 그 3인방은 앵그리 버드(Angry Birds), 페이스북(Facebook), 그리고 넷플릭스(Netflix)다.
"앵그리 버드는 지원 광고가 붙어있다. 보안 측면에서 본다면, 스파이웨어보다 정규 애드웨어가 더 광범위한 위험성을 갖고 있다. 앵그리 버드는 오히려 생산성을 죽이는 앱이기 때문에 블랙리스트에 등재됐을 가능성이 높다"고 덧붙였다. editor@itworld.co.kr