선도적 모바일 기술 업체인 업스트림(Upstream)이 인기 있는 안드로이드 애플리케이션인 비드메이트(VidMate)가 의심스러운 배경 활동을 유발한다고 밝혔다.

그 앱에 숨겨진 소프트웨어가 보이지 않는 광고를 내보내고, 가짜 클릭과 물품 구매를 발생시키며, 사용자 동의 없이 다른 의심스러운 앱을 설치하고, 사용자의 개인 정보를 수집한다. 결과적으로 이는 사용자의 데이터 허용량을 대폭 감소시키고 원치 않는 요금 청구를 받게 한다.

5억회 이상 다운로드한 것으로 보고된 비드메이트는 데일리모션(Dailymotion), 비메오(Vimeo), 유튜브 등에서 비디오와 음악을 스트리밍하고 다운로드하는 인기 있는 안드로이드 애플리케이션이다. 이것은 구글 플레이 스토어(Google Play Store)에서는 구할 수 없지만 CNET이나 업투다운(Uptodown) 같은 제3자 앱 스토어를 통해 유통된다. 공개된 정보에 따르면 비드메이트는 중국 대기업인 알리바바(Alibaba)가 소유하고 있는 UC웹(UC Web)의 자회사가 개발한 것으로 알려져 있다.

최근 업스트림의 보안 플랫폼인 시큐어-D(Secure-D)는 비드메이트가 유발한 거의 1억3000만건의 의심스러운 모바일 거래를 감지하여 차단했다. 이러한 거래는 15개국에 있는 500만개에 가까운 특정 모바일 기기로부터 이뤄진 것이다. 만일 이들이 차단되지 않았다면 최대 1억7000만달러의 원치 않는 요금을 발생시킬 수 있는 고급 디지털 서비스에 사용자들을 가입하게 했을 것이다.

가이 크리프(Guy Krief) 업스트림 최고경영자(CEO)는 “모바일 광고는 수십억달러 규모의 시장으로서 사기 치기에 매우 비옥한 온상이다. 몇 달 동안에 1억3000만건의 의심 거래를 시도하도록 원인을 제공한 단일 앱인 비드메이트의 사례는 매우 큰 우려를 낳게 한다. 날이 갈수록 지능화되어가는 위장 멀웨어는 경계를 더욱 강화할 것을 요구하고 있다. 디지털 사기를 물리치는 데는 지속적인 기술 혁신이 답”이라고 말했다.

지금도 계속되고 있는 의심스러운 활동은 대부분 15개국을 중심으로 벌어지고 있다. 시큐어-D가 저지한 4300만건의 의심 거래는 이집트에 있는 기기를 통해 이뤄졌고 2700만건은 미얀마, 2100만건은 브라질, 1000만건은 카타르, 800만건은 남아프리카의 기기를 통해 이뤄졌다. 다른 상위 의심 거래 시장은 에티오피아, 나이지리아, 말레이시아, 쿠웨이트 등이다. 이들 국가에서는 대부분의 국민들이 은행 거래를 하지 않기 때문에 주로 모바일을 사용해 디지털 결제를 하고 때로는 그것이 유일한 금융 거래 수단이 되고 있다.

또 시큐어-D의 실험 결과 비드메이트는 데이터를 월 3GB 이상 써버리면서 배터리와 대역폭을 많이 소모하는 것으로 나타났다. 그뿐만 아니라 사용자들은 모바일 데이터 사용 요금을 연간 100달러 지불하게 될 수도 있다. 이것은 브라질 같은 나라에서는 월간 최저 임금의 절반 가까이 되는 금액이다.

또한 시큐어-D의 조사 결과 비드메이트는 조사 당시[1] 국제 모바일 고유 식별번호(International Mobile Equipment Identity, IMEI), 국제 모바일 가입자 식별번호(International Mobile Subscriber Identity, IMSI) 또는 IP(인터넷 프로토콜) 주소 등 사용자 개인 정보를 수집해 알리바바가 자금을 지원한 중국 기반 회사인 노노라이브(Nonolive)에 속하는 싱가포르 소재 서버로 전송한 것으로 공개된 정보에 의해 밝혀졌다.

이어서 크리프 CEO는 “비드메이트는 하나의 사례일 뿐이다. 시큐어-D는 매일 170여개의 새로운 악성 앱을 감지하고 있다”며 “모바일 사기는 대부분 광고주들을 표적으로 하지만 소비자들에게도 커다란 영향을 준다. 소비자들의 데이터 허용량을 소모하고, 원치 않는 요금 청구를 받게 하며, 모바일 기기의 성능을 엉망으로 만들고, 사용자 개인 데이터를 공격 및 수집한다. 그것은 업계의 우선순위 목록에 올려 모바일 보안을 강화시켜 시급히 대처해야 할 전염병”이라고 덧붙였다.

조사 결과 보고서 전문과 다른 자원은 웹사이트(http://bit.ly/2ElVU0f)에서 확인할 수 있다.