中 쇼핑앱 핀둬둬, 휴대폰 설정 임의 변경 등 프라이버시 침해

중국 인기 쇼핑앱인 핀둬둬는 사용자 휴대폰 보안 우회로 사용자 앱 활동 등을 모니터링하고 개인 프라이버시를 침해했다고 CNN 비즈니스가 2일(현지 시간) 폭로했다.

약 7억5000만 명의 사용자를 보유하고 있는 핀둬둬는 의류·잡화 등 다양한 제품을 판매하고 있다.

그러나 러시아 보안회사 카스퍼스키랩은 “화웨이와 샤오미 등이 지배하는 중국 현지 앱스토어를 통해 배포된 앱 버전을 테스트하고 핀둬둬 앱에 숨겨진 악성코드를 발견했다”고 밝히면서 핀둬둬 앱이 사용자 정보와 데이터 보안을 훼손하기 위해 자체 권한을 높일 수 있는 방법을 설명했다.

사이보 안보 연구원은 “핀둬둬는 숨겨진 악성코드를 통해 사용자 휴대폰 보안을 우회해 사용자의 다른 앱 활동을 감시하고, 개인 메시지를 읽고 설정을 변경할 수 있다”며 “설치하면 악성코드를 없애기 어렵다”고 말했다.
사용자 허가 없이 핀둬둬가 데이터를 대량 수집함에 따라 전문가는 “전자상거래 거물인 핀둬둬가 프라이버시와 데이터 보안 침해를 한 단계 끌어올렸다”고 지적했다.

CNN은 아시아, 유럽과 미국 등의 사이버 보안팀 6개, 전·현직 핀둬둬 직원과 면담을 가졌다.

전문가들은 “핀둬둬가 안드로이드 시스템의 취약점을 악용해 백도어를 설치하고 사용자 데이터 및 알림에 대해 무단 접근했다”고 전했다.

핀둬둬 내부 인사는 “이 같은 백도어는 사용자와 경쟁사를 감시하고 판매를 늘리기 위한 것”이라고 밝혔다.

핀란드 사이버 보안회사 위드세큐어의 수석 연구원은 “핀둬둬 같은 인기 앱이 자체 권한을 높이고 접근하면 안되는 데이터에 접근한 사례를 본 적이 없다”고 말했다.

이어 “이런 행동은 매우 악질적인 것”이라고 비난했다.

핀둬둬 직원에 따르면 핀둬둬는 안드로이드 스마트폰의 취약점을 발굴하고 이를 이용한 악성코드 등을 개발하기 위해 2020년에 약 100명의 엔지니어와 제품 매니저들로 구성된 팀을 조직했다.

익명의 소식통은 “처음에 해당 악성코드는 농촌 지역과 소도시의 사용자들만 대상으로 심었고, 베이징과 상하이 등 대형 도시의 사용자들을 피했다”며 “이는 노출될 위험을 낮추기 위한 선택”이라고 밝혔다.

이어 “사용자 활동 관련 데이터 수집을 통해 핀둬둬는 전반적으로 사용자의 습관·취미 등을 파악할 수 있다”고 설명했다.

그러나 소비자 허가 없이 소비자 데이터에 접근한다는 소식이 퍼진 후 팀은 해체된 것으로 알려졌다.

또 애플의 앱스토어에 있는 핀둬둬 앱에서 악성코드가 발견되지 않았기 때문에 현재 앱스토어에서는 여전히 핀둬둬 앱을 내려받을 수 있다.

핀둬둬 앱에서 악성코드가 발견됐다는 소식이 퍼진 후 투자자와 소비자들은 ‘국제판 핀둬둬’ 앱인 테무(Temu)에 주목하기 시작했다. 지난 몇 달 동안 테무는 미국 애플 앱스토어에서 다운로드 횟수가 가장 많은 앱으로 기록됐고, 서방 시장에서 사업을 확장하고 있다.

미국 당국과 투자자 등은 핀둬둬가 소비자 데이터에 접근한 후 관련 정보를 중국 당국에 넘기는 것을 우려하고 있다.

지난달 구글은 이미 악성코드가 발견됐다는 이유로 핀둬둬를 플레이스토어에서 정지시키고, 핀둬둬 앱을 내려받은 사용자들에게 삭제하라고 호소했다.

핀둬둬 측은 구글과 카스퍼스키랩 등이 악의적으로 악성코드를 심었다는 지적을 부인했다.

핀둬둬는 중국 네티즌 가운데 4분의 3을 차지하는 사용자를 보유하고 있으며, 시가총액은 이베이보다 3배 높은 것으로 집계됐다.

구글 전 직원인 황정은 2015년 상하이에서 핀둬둬를 설립했고, 전자상거래 공룡인 알리바바와 징둥닷컴이 주도한 시장에서 자리 잡기 위해 노력했다.

이후 핀둬둬는 단체 주문에 할인을 제공하고 저소득층인 농촌 지역에 중점을 두면서 중국 전자상거래 시장에서 자리를 잡았다.

핀둬둬가 뉴욕증권거래소에 상장한 해인 2018년 말까지 월간 사용자 수는 세 자릿수 성장률을 달성했다. 그러나 2020년 중순 핀둬둬의 월간 사용자 성장폭은 50%로 둔화됐고, 계속 감소하고 있다.


양지혜 글로벌이코노믹 기자 tvxqhae@g-enews.com