중국의 대형 전자상거래 업체 ‘핀둬둬’의 안드로이드 애플리케이션에 사용자 개인정보를 가로채는 악성 소프트웨어가 탑재돼 있는 것으로 확인됐다. 사용자 휴대전화의 보안을 뚫고, 사적인 메시지까지 감시할 수 있는 기능을 갖췄다는 것이다.
핀둬둬가 중국산 동영상 공유앱인 ‘틱톡’처럼 사용자 정보를 빼돌리고 감시할 수 있다는 점에서 제2의 틱톡 논란으로 점화될 조짐이다.
CNN은 2일(현지시간) 미국과 유럽, 아시아의 사이버보안 전문가팀 6곳에 의뢰한 결과, 핀둬둬 앱에서 사용자 휴대전화 보안을 우회해 다른 앱의 활동을 모니터링하고, 개인 메시지를 읽는 멀웨어의 존재를 확인했다고 보도했다.
CNN은 “해당 멀웨어는 휴대전화 설정도 변경할 수 있고, 한 번 설치하면 제거가 어렵다”고 덧붙였다.
이 멀웨어는 안드로이드 운영체제의 취약점을 악용했으며, 핀둬둬가 자사 판매를 촉진하기 위해 사용자와 경쟁사를 염탐하는 데 활용됐다고 방송은 설명했다.
핀둬둬는 2020년 100명 규모의 엔지니어 팀을 구성해 안드로이드 휴대전화의 취약점을 파헤치고, 이를 악용할 방법을 개발해 왔던 것으로 전해졌다.
핀둬둬는 월평균 이용자가 7억5000만 명에 달할 정도로, 중국에서 가장 인기 있는 쇼핑 앱 중 하나다.
CNN은 “많은 앱이 명시적 동의 없이 광범위한 사용자 정보를 수집하지만, 핀둬둬는 기존 수준을 뛰어넘는 전례 없는 수준의 개인정보 침해를 자행했다”고 전했다.
아직까지 핀둬둬가 사용자 정보를 중국 정부에 넘겼다는 증거는 나오지 않은 상태다. 그러나 중국 정부는 자국 기업에 막대한 영향력을 행사하고 있어서 자국 기업들이 정부의 광범위한 보안 활동에 협조를 강요당할 가능성이 농후하다는 게 미국 정치권의 우려라고 CNN은 설명했다.
특히 이번 사건은 데이터 보안 우려로 중국의 동영상 공유 서비스 ‘틱톡’ 금지 여론이 미국 전역에서 확산하는 상황에서 벌어진 만큼 여파가 만만찮을 전망이다. 핀둬둬는 미국에서도 ‘테무’라는 쇼핑앱을 운용하고 있기 때문이다.
이에 앞서 안드로이드 앱마켓을 운용하는 구글은 지난달 핀둬둬에서 악성코드가 발견됐다는 이유를 들어 해당 앱의 다운로드 서비스를 중단한 바 있다.
하지만 테무에 대해서는 별다른 조처를 하지 않았다. 테무는 미국에서 다운로드 전체 1위를 유지하며 인기를 끌고 있다.
워싱턴=전웅빈 특파원 imung@kmib.co.kr