[단독]배달 앱이 위험하다 … 난독화 없어 개인정보 줄줄새

2015-01-07 15:55
배달의민족 요기요 배달통 등 빅3 배달 앱, 난독화 등 기본 보안조치 없어

유명 배달 앱 '배달의 민족', '배달통', '요기요' 등을 분석한 결과 3개 앱 모두 난독화가 전혀 적용되지 않아 보안상 위험요소가 큰 것으로 나타났다 [사진 = 인터넷캡처 ]

 

[일러스트=김효곤기자]


아주경제 장윤정·정광연 기자 = # 모바일 안드로이드 마켓에서 유명 배달 앱을 내려받은 가정주부 박모씨는 최근 집으로 날라온 신용카드 명세서를 받아보고 깜짝 놀랐다. 전혀 사용한 적 없는 현금서비스와 물품거래 등으로 수천만원에 달하는 카드값이 청구됐기 때문이다. 

영문을 몰라 경찰 수사를 의뢰한 결과, 배달 앱에서 수차례 음식을 주문한 것이 화근이었다. 귀찮게 메뉴를 골라 전화를 거는 번거로움을 줄여주는 배달 앱이 뒤늦게 가짜 앱인 것으로 드러난 것이다. 가짜 앱을 통해 박씨의 카드 개인정보가 해커에게 모조리 넘어갔던 것으로 나타났다.

배달 애플리케이션(앱)이 위험에 빠졌다.

7일 본지가 국내 보안전문가들과 조사한 결과 '배달의민족', '배달통', '요기요' 등 국내 배달 앱 빅3가 안드로이드 앱 제작에서 기본으로 지켜야하는 난독화를 적용하지 않은 것으로 확인됐다. 난독화가 적용되지 않은 앱은 소스코드가 그대로 들여다 보여 가짜 앱을 손쉽게 만들 수 있다. 때문에 해킹 피해를 방지하기 위해서는 앱의 소스코드 분석을 어렵게하는 앱 난독화 기술이 필수다.

위의 사례가 가상이지만 당장 얼마든지 일어날 수 있다고 전문가들은 경고한다. 안드로이드 마켓은 누구나 앱을 올릴 수 있어 해커가 올린 가짜 앱을 다운받을 경우 개인정보는 물론 신용카드 정보 등을 탈취당해 큰 피해를 입을 수 있다는 지적이다.

김태봉 KTB솔루션 대표는 "정상적인 앱이라면 난독화는 기본중의 기본"이라며 "이를 적용하지 않으면 소스코드가 99.9% 그대로 보여 해당 앱을 똑같이 복제하는 것이 가능해진다"고 말했다.

또한 "최근 대부분의 배달 앱들이 전화를 걸지 않고 바로 앱에서 신용카드 번호를 넣고 주문이 가능하도록 되어있는데 배달 앱을 복사해 가짜 앱을 만든 후 악성코드를 심어 올리면 카드 정보 등이 공격자의 PC에 그대로 보여 각종 사이버 범죄로 이어질 수 있다"고 설명했다.

가짜 앱으로 인한 피해를 운 좋게 벗어난다 해도 배달 앱의 취약한 보안 시스템으로 인한 사생활 정보 유출의 가능성 또한 여전히 높다.

배달 앱 업체들은 고객들의 신용카드 정보가 자사 데이터베이스에 따로 저장되지 않는다는 입장이지만 해커의 침입을 받을 경우 고객의 위치 정보나 선호 음식, 결제 방식 등 소비 패턴이 고스란히 공개될 수 있어 이를 악용하는 마케팅 브로커들부터 2차 피해도 우려된다.

업계에 따르면 전체 배달 시장은 10조원에 달한다. 이중 배달 앱이 차지하는 비중은 1조원 가량이다. 올해는 1조 5000억원으로 성장할 전망이다.

특히 배달 앱 중 선두로 평가받는 배달의민족의 경우 지난해 12월 기준 이 앱을 통해 주문된 배달 건수는 520만 건이다. 거래액으로 따지면 950억원 규모다. 총 주문건수도 4000만건 이상이다.

비약적인 성장을 거듭하고 있는 배달 앱 업체들이 가장 기본적인 보안 투자에도 소홀했다는 지적을 면키 어렵게 됐다. 

실제 배달통은 지난해 연말 해킹사고가 발생했지만 지금까지도 정확한 피해 현황이나 원인 파악조차 하지 못하고 있다.

권석철 큐브피아 대표는 "난독화 없는 배달 앱으로 조만간 스마트폰 사용자 가운데 대형 사고가 발생할 가능성이 높다"며 "배달 앱 뿐만 아니라 상용화된 다른 앱들 역시 난독화가 적용되지 않은 경우가 많아 전수조사 등을 통해 보완 대책을 마련해야 할 것"이라고 강조했다.