애플이 개인정보를 몰래 훔쳐가는 불법 애플리케이션(앱) 250여개를 앱스토어에서 삭제했다.

19일(현지시간) 정보기술(IT)전문매체 더 버지는 애플이 앱을 다운로드 받는 이용자의 개인정보를 빼가도록 설계된 앱 256개를 앱스토어에서 퇴출시켰다고 보도했다.

이들 불법 앱은 중국 광고업체 유미(Youmi)의 소프트웨어 개발 킷(SDK)을 기반으로 제작된 것으로, 대부분 중국산 앱이었다.

유미의 SDK를 기반으로 제작된 앱을 다운로드 받으면 유미의 서버에 자동으로 이메일 정보, 애플 아이디나 스마트폰 시리얼 번호 등의 개인 정보가 저장된다. 이러한 불법 앱은 총 100만 건 이상 다운로드 된 것으로 전해지고 있다.

불법 앱 개발자들도 불법 행위의 피해자일 수 있다는 주장이다. 이들도 유미의 SDK가 이런 불법을 저지를 것이라는 생각을 하지 못했을 가능성이 높기 때문이다.

불법 앱을 처음으로 발견한 보안업체 소스DNA 관계자는 "SDK가 바이너리 형태로 전송되기 때문에 앱 개발자들은 이러한 사실을 알지 못했을 것"이라며 "게다가 훔친 이용자 정보는 앱에 남지 않고 유미의 서버로 자동 업로드 되기 때문에 이를 알기 어렵다"이라고 말했다. 

이 같은 불법 SDK를 활용한 앱이 어떻게 애플의 보안벽을 통과했는지는 아직까지 알려지지 않았다.

다만 소스DNA는 유미가 수년간 애플의 제한된 응용프로그램 인터페이스(APIs)에 대한 연구를 진행한 결과, 애플이 집중적으로 점검하는 부분과 취약 부분을 파악한 것으로 판단하고 있다.

이를 통해 유미는 어떻게든 이들 앱을 애플 앱스토어에 출시하고, 고객 정보를 훔쳐왔던 것이다.

소스DNA는 불법 앱에 대한 정보를 애플에게 전달했다. 이들 앱 중에는 중국 공식 맥도날드 앱도 포함된 것으로 알려지고 있다. 또, 이 업체는 앱 개발자들에게 자신의 앱이 이 같은 불법 행위를 저지르고 있는지 확인할 수 있는 검색 툴(https://searchlight.sourcedna.com/)을 제공하고 있다.

애플은 이에 대해 "유미 SDK와 관련된 앱 전부를 삭제했고, 향후 그 SDK를 사용한 어떤 앱도 승인되지 않을 것"이라고 밝혔다. 또, 애플은 "개발자들과 앱스토어 규정을 다시 점검하고 있다"고 덧붙였다.