휴대전화에서 사용하는 앱을 불법으로 다운로드할 수 있는 '투투앱(TutuApp)'이나 '판다헬퍼(Panda Helper)', '앱밸리(AppValley)', '트윅박스(TweakBox)' 등 소프트웨어는 최근 애플이 엄격하게 관리하고 있는 앱 판매 사이트 'AppStore(앱스토어)'를 거치지 않고도 애플이 소개한 프로그램에 접속하기 위한 디지털 인증 방법을 찾아냈다.
애플 대변인은 로이터와의 인터뷰에서 인증서를 악용하는 개발자는 "당사의 'Apple Developer Enterprise Program(ADEP)' 계약을 위반하고 있어 인증서는 폐기되며, 적절한 경우에는 개발 프로그램으로부터 완전하게 배제된다"고 설명했다. 이어 향후 악용 문제에 대해 정밀 조사해 나갈 방침이라고 밝혔다.
하지만 이러한 인증서를 악용한 수단이 갈수록 진화함에 따라, 통제 대책의 어려움도 따르는 것으로 나타났다. 애플은 당초 인증서의 발행이나 부적절하게 수정된 앱의 확산을 실시간으로 추적할 방법은 없지만, 악용된 사실이 발견될 경우 인증서를 취소할 수 있다고 밝혔다. 그리고 불법 앱의 일부에 대해 시스템 사용을 금지시켰다. 그러나 악성 개발자들은 그 후 며칠 이내에 다른 인증서를 이용하여 운영을 재개했던 것으로 알려졌다.
보안 업체 셰이프 시큐리티(Shape Security)의 보안 책임자 아민 함바라(Amine Hambaba)는 "이러한 악성 앱이 다른 팀이나 다른 개발 계정을 사용해 같은 일을 반복하는 것을 막을 방법이 없다"고 밝혔다.
한편, 포켓몬GO를 개발한 미국의 나이언틱랩스는 '치트(부정행위)'가 가능한 수정앱을 사용하는 플레이어의 계정은 정기적으로 정지시키고 있다고 해명했다. 애플은 이달 말까지 개발자 계정에 로그인할 때 2단계 인증을 거쳐야 하는 것을 의무화함으로써 인증서의 악용을 방지할 계획이다.
김길수 기자 gskim@g-enews.com