중국의 대형 전자상거래 업체 ‘핀둬둬’의 안드로이드 애플리케이션에 사용자 개인정보를 가로채는 악성 소프트웨어가 담겨있는 것으로 나타났다. 해당 악성 소프트웨어는 사용자 휴대전화의 보안을 뚫고, 사적인 메시지까지 감시할 수 있는 기능을 갖춘 것으로 분석됐다.
CNN은 2일(현지시간) 미국과 유럽, 아시아의 사이버 보안 전문가팀 6곳 등에 의뢰한 결과, 핀둬둬 앱에서 사용자 휴대전화 보안을 우회해 다른 앱의 활동을 모니터링하고, 개인 메시지를 읽는 멀웨어의 존재를 확인했다고 보도했다. CNN은 “해당 멀웨어는 휴대전화 설정도 변경할 수 있고, 한 번 설치하면 제거가 어렵다”고 덧붙였다.
이 멀웨어는 안드로이드 운영 체제의 취약점을 악용했으며, 핀둬둬가 자사 판매를 촉진하기 위해 사용자와 경쟁사를 염탐하는 데 활용됐다고 CNN은 설명했다. 핀둬둬는 2020년 약 100명 규모의 엔지니어 팀을 구성해 안드로이드 휴대전화의 취약점을 파헤치고, 이를 악용할 방법을 개발해 왔던 것으로 전해졌다. 핀둬둬는 월평균 이용자가 7억5000만 명에 달하는 중국에서 가장 인기 있는 쇼핑 앱 중 하나다.
CNN은 “많은 앱이 명시적 동의 없이 광범위한 사용자 정보를 수집하지만, 핀둬둬는 기존 수준을 뛰어넘는 전례 없는 수준의 개인정보 침해를 자행했다”고 보도했다.
핀둬둬가 사용자 정보를 중국 정부에 넘겼다는 증거는 없다. 그러나 중국 정부는 자국 기업에 막대한 영향력을 행사하고 있어서 기업들이 광범위한 보안 활동에 협조해야 할 수 있다는 미국 정치권의 우려가 있다고 CNN은 설명했다. 특히 이번 사건은 데이터 보안 우려로 중국의 동영상 공유 서비스 ‘틱톡’ 금지 여론이 확산하는 상황에서 벌어진 만큼 여파가 확산할 수 있다. 핀둬둬가 미국에서 운용 중인 쇼핑앱 ‘테무’에 대해서도 우려가 제기될 수 있다는 것이다.
앞서 구글은 지난달 핀둬둬에서 악성코드가 발견됐다는 이유를 들어 앱의 다운로드 서비스를 중단했지만 테무에 대해서는 별다른 조처를 하지 않았다. 테무는 미국에서 다운로드 전체 1위를 유지하며 인기를 끌고 있다.
워싱턴=전웅빈 특파원 imung@kmib.co.kr