中 3위 쇼핑앱 악성코드, 세계인의 통화·문자·사진 엿봤다

7.5억명 쓰는 핀둬둬, 전례없는 정보 침해

악성코드가 내장돼 사용자 정보를 탈취하는 중국 전자상거래 앱 핀둬둬. /애플 앱스토어 캡처

월 7억5000만명이 이용하는 중국 3위 전자상거래 앱 ‘핀둬둬(拼多多)’가 사용자의 통화 기록과 문자 메시지, 사진 앨범까지 훔쳐본 것으로 드러났다. 이 앱은 주로 중국 내 전자상거래에 쓰이지만 다른 국가에서도 이 앱을 다운로드하고 사용할 수 있어 전 세계적으로 파장이 확산되고 있다. 중국 정부가 자국 기업들의 앱을 이용해 전 세계 사용자의 정보를 수집하고 악용하려 한다는 우려가 현실화된 것이다.

CNN은 2일(현지 시각) 미국과 유럽, 아시아 전문가에게 자체 의뢰해 분석한 결과 중국 대형 전자상거래 앱인 핀둬둬에서 악성코드가 발견됐다고 보도했다. 핀둬둬는 구글 개발자 출신 콜린 황이 2015년 상하이에 세운 PDD홀딩스의 앱으로 저렴한 공동구매 서비스를 앞세워 초고속 성장하며, 시가총액이 미국 이베이의 3배 규모가 됐다.

핀둬둬 앱에 내장된 악성코드는 구글 안드로이드 운영체제의 취약성을 이용해 사용자 동의 없이 휴대폰 사용 내역과 데이터를 탈취하는 것으로 파악됐다. CNN은 “한 번 설치하면 앱을 삭제하더라도 악성코드를 없애기 매우 까다로운 구조”라고 했다. 보안 업체 오버시큐어드의 세르게이 토신 창업자는 “사용자가 많은 주류 앱에서 발견된 가장 위험한 악성코드”라며 “매우 광범위한 개인정보 탈취로, 이런 수준의 침해는 전례가 없다”고 했다.

핀둬둬는 사용자의 휴대폰 사용 내역을 조회해 경쟁자를 견제하고 판매를 촉진하기 위해 악성코드를 심은 것으로 알려졌다. 사용자 정보를 토대로 맞춤형 광고도 한 것으로 파악된다. 핀둬둬가 탈취한 개인정보가 중국 정부에 넘어갔다는 증거는 아직 없다. 하지만 중국 당국은 IT서비스 업체의 데이터에 언제든 접근할 수 있다. 핀둬둬의 정보 역시 당국이 필요하면 얼마든지 이용자 감시와 사찰에 활용할 수 있다는 뜻이다. 구글은 지난달 21일 구체적인 이유를 밝히지 않은 채 악성코드가 발견됐다며 핀둬둬를 자사 앱 마켓인 플레이스토어에서 차단했다. CNN은 “핀둬둬는 자사 앱에 대한 의혹이 확산되자 긴급 업데이트를 실시하며 악성코드 삭제를 시도했다”고 보도했다.

핀둬둬의 악성코드 문제는 중국에서 개발한 앱 전체에 대한 불신으로 확대되고 있다. 특히 핀둬둬의 자매 회사인 온라인 쇼핑몰 테무가 미국에서 앱 다운로드 1위를 유지하며 선풍적인 인기를 끌고 있는데, 이 앱에 대한 기피 현상도 본격화될 가능성이 높다. CNN은 “이번 논란에 테무가 직접 연루된 것은 아니지만, 테무의 글로벌 확장에는 악재가 될 것”이라고 했다.

현재 미국과 유럽은 중국 바이트댄스의 소셜미디어 앱인 틱톡에 대한 규제에 나서고 있다. 틱톡이 고객들의 정보를 중국 정부로 빼돌리고 있다는 이유에서다. 지난 23일 미 하원에서 열린 틱톡 청문회에서 의원들은 “틱톡은 중국 공산당의 무기”라며 추쇼우즈 틱톡 최고경영자(CEO)를 몰아세웠다. 토니 블링컨 미 국무부 장관도 틱톡을 ‘안보적 위협’이라고 지칭하고, “어떤 방식으로든 금지해야 한다”고 말했다.

테크 업계는 미 정치권이 틱톡 규제의 화살을 핀둬둬와 테무, 기타 중국산 앱으로 확대할 가능성이 높다고 본다. 최근 미국 내 중국산 앱은 젊은 층을 중심으로 큰 인기를 끌고 있다. 시장조사업체 센서타워에 따르면 3월 말 기준 미국 애플 앱스토어 다운로드 순위 1~4위가 중국 앱이었다.