中 인기앱에 실린 악성코드...“한번 설치하면 삭제 어렵다”

월 7억5000만명이 이용하는 중국 전자상거래 앱 ‘핀둬둬’가 사용자의 문자메시지와 사진을 훔쳐볼 수 있는 악성코드를 심은 것으로 드러났다.

“생전 처음 보는 최악의 악성코드다”

월 7억5000만명이 이용하는 중국 전자상거래 앱 ‘핀둬둬’에서 사용자의 문자메시지와 사진을 훔쳐볼 수 있는 악성코드가 발견됐다. 

미국 CNN은 IT보안전문팀 6곳에 자체 의뢰해 분석한 결과, 핀둬둬에서 악성코드를 찾았다고 최근 보도했다. 

‘많이(多多) 끌어모으다’는 뜻의 핀둬둬(拼多多)는 공동구매를 한 고객에게 최대 50% 할인을 해주는 등 박리다매 전략으로 승승장구를 거둔 앱이다. 핀둬둬를 운영하는 PDD홀딩스의 시가총액은 2월 기준 1259억4000만달러(163조1804억원)에 이른다.

핀둬둬는 악성코드를 이용해 사용자의 위치정보·연락처·달력·사진앨범은 물론 사회관계망서비스(SNS) 계정과 채팅메시지까지 접근할 수 있는 것으로 드러났다. 이렇게 탈취한 개인정보를 자사 서비스 마케팅에 사용한 것으로 보인다고 매체는 전했다. 

핀둬둬는 또 악성코드를 통해 앱을 적극적으로 사용하지 않는 ‘백그라운드 상태’에서도 앱을 활성화시켜 ‘월간 활성 사용자’ 비율을 끌어올렸던 것으로 분석됐다. 

이같은 악성코드는 한번 설치되면 앱을 삭제하더라도 없애기 어렵다고 전문가들은 밝혔다. 보안업체 오버시큐어드의 세르게이 토신 창업자는 “사용자가 많은 주류 앱에서 발견된 가장 위험한 악성코드”라며 “매우 광범위한 개인정보 탈취로, 이런 수준의 침해는 처음 본다”고 말했다.

이번 사태는 중국 소셜미디어 앱 ‘틱톡’이 고객들의 개인정보를 중국 정부에 빼돌리고 있다는 혐의가 커지는 가운데 나왔다. 지난달 열린 미국 하원 청문회에서 의원들은 “틱톡은 중국 공산당의 무기”라며 목소리를 높였다. 토니 블링컨 미 국무부 장관도 틱톡을 ‘안보적 위협’이라며 “어떤 방식으로든 금지해야 한다”고 말했다.

핀둬둬가 탈취한 개인정보를 중국 정부에 넘겼다는 증거는 없다. 하지만 중국 당국이 자국 기업들에 막강한 영향력을 행사한다는 점에서 언제든 해당 정보에 접근할 수 있을 것이라는 우려가 나온다. 

핀둬둬에 대한 불신은 자회사인 ‘테무’로 번지고 있다. 지난해 9월 출시된 온라인 쇼핑몰 ‘테무’는 저가 전략을 무기로 미국에서 선풍적인 인기를 끌고 있다. 지난해 11월 안드로이드와 애플 앱스토어에서 다운로드 수 1위를 차지했으며 현재까지 자리를 지키고 있다. 

CNN은 핀둬둬 전·현직 직원들의 말을 인용, “악성 소프트웨어를 개발한 것으로 추정되는 엔지니어와 제품관리팀이 3월 해산했는데 이들 대부분이 테무로 옮긴 것으로 보인다"며 "이번 사태가 “테무의 글로벌 확장에는 악재가 될 것”이라고 보도했다.