증강현실(AR) 기반 모바일 게임 ‘포켓몬 고(GO)’가 폭발적인 인기를 끌면서 보안에 대한 우려가 커지고 있다.
‘포켓몬 고’를 우회 설치하는 사례가 늘면서, 검증되지 않은 설치파일(APK)을 별도로 내려받으면 악성 코드에 감염될 가능성이 크고 게임 계정을 통해 개인정보가 대량 유출될 수 있다는 지적이 나오고 있는 것.
15일 보안업계에 따르면 지난주 해외 사이트에 올라온 ‘포켓몬 고’의 일부 설치파일에서 공격자가 피해자의 스마트폰을 제어할 수 있는 악성코드 ‘드로이드잭(DroidJack)’이 발견됐다.
보안업계 관계자는 “공식적인 앱 스토어가 아닌 곳에서 앱을 내려받는 것은 매우 위험하다”며 “공식 앱 마켓에는 보안성을 검증하는 절차가 있지만, 정식 앱이 아닌 ‘리패키징앱’은 출처가 불분명할뿐더러 이러한 보안 절차가 없어 악성 코드에 감염될 가능성이 크다”고 우려했다.
‘포켓몬 고’가 정식 출시된 국가는 아직 4개에 불과하다. 미출시 국가에서 ‘포켓몬 고’를 하려면 아이폰 사용자는 출시된 국가의 계정을 따로 만들어야 하고, 안드로이드 스마트폰 사용자는 별도의 설치파일을 해외 사이트나 SNS를 통해 구한 뒤 내려받아 실행해야 한다.
모바일 조사업체 와이즈앱에 따르면 이러한 방식을 통해 지난 7~13일 국내에서 ‘포켓몬 고’를 내려받은 안드로이드 스마트폰 사용자는 40만 명을 넘은 것으로 추정된다.
‘포켓몬 고’ 공식 트위터도 지난 11일 “구글 플레이 스토어나 앱 스토어가 아닌 곳에서 설치할 경우 악성 코드나 바이러스에 감염될 수 있다”고 경고한 바 있다.
게임 계정을 통한 개인정보 유출은 또 다른 문제다.
아이폰 이용자가 ‘포켓몬 고’를 이용하려면 구글 계정에 새로 가입해야 하는데 이때 계정에 등록된 기본 정보가 게임 개발사로 넘어가게 된다. 구글 계정 가입 과정에서 ‘포켓몬 고’는 구글 계정에 등록된 이메일 정보와 저장 사진까지 게임 개발사가 볼 수 있는 계정 전체의 접근권(full access)을 아이폰 이용자에게 요구하고 있다.
이와 관련해 비판이 불거지자 개발사인 나이앤틱은 정보 접근권을 급히 제한하고, 보안을 강화하겠다며 진화에 나섰지만 ‘포켓몬 고’가 수집하는 정보가 워낙 방대하기 때문에 개인정보 유출 사고 발생의 가능성은 여전하다.
게임업계 관계자는 “‘포켓몬 고’ 운영에는 이용자의 실시간 위치 정보부터 카메라 데이터까지 광범위한 정보가 필요하다”며 “보안침해 사고가 발생할 경우 유출될 수 있는 정보량이 그만큼 많다”고 지적했다.
/이재아인턴기자 leejaea555@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >