中 게임패드...동의 없이 과도한 개인정보 유출

스마트폰으로 모바일 게임을 실감나게 하려다 개인정보를 유출할 수 있어 주의가 요구된다.

특정 중국산 스마트폰용 게임패드가 사용자 동의 없이 30여개에 달하는 과도한 개인정보를 수집하는 것으로 드러났다.

이스트시큐리티는 특정 중국산 게임패드가 앱 설정에서 과도한 권한을 요구하고 사용자 몰래 기기 정보를 수집해 실시간 전송한다고 21일 밝혔다.

최근 모바일 게임을 실감나게 즐기게 돕는 주변 기기가 인기다. 가장 있는 기기는 스마트폰용 전용 게임패드다. 스마트폰에 게임패드를 연결하면 휴대용 게임기와 같은 타격감을 제공한다. 대부분 게임패드는 중국에서 수입되는데 제조사 앱과 연동해 사용한다.

스마트폰과 게임패드를 연결했다.(자료:이스트시큐리티)
스마트폰과 게임패드를 연결했다.(자료:이스트시큐리티)

이스트시큐리티는 특정 게임패드 연결 시 사용자 정보를 훔쳐가는 악성앱 'Misc.Android,InfoStealer'를 발견했다. 사용자는 안드로이드폰과 게임패드를 블루투스로 연결한다. 기기와 연결된 게임패드 키 매핑 기능을 이용하려면 제조사에서 제공하는 설정 앱을 설치해야 한다.

설정 앱과 설명서는 제작사 홈페이지에서 내려 받는다. 공식 플레이스토어가 아니다. 특정 제조사 설정 앱은 사용자에게 30여개 권한을 요구한다.

단말기 정보와 브랜드, 제조사, 기기 모델 정보, 망사업자 정보, 사용국가, 네트워크 사업자 정보, GSM 정보, 언어, 위도, 경도, 네트워크 활성화 여부를 수집한다.

맥 주소와 기기에서 실행 중인 앱 정보, 설치된 앱 패키지명 리스트, CPU 정보를 제조사 서버로 전송한다. 게임패드 이용과 상관없는 정보를 중국으로 유출한다. 제조사가 이런 정보를 왜 유출하는지는 확인되지 않는다.

제조사 앱은 최고 사용자 권한을 요구한다. (자료:이스트시큐리티)
제조사 앱은 최고 사용자 권한을 요구한다. (자료:이스트시큐리티)

심지어 해당 앱은 스마트폰 최고 관리자(슈퍼유저) 권한을 요구하는 창을 띄운다. 이때 무심코 허용을 누르면 앱에 모든 권한을 내 줄 수 있다. 사용자 권한을 요구하는 알림창이 뜨면 반드시 꼼꼼히 확인한 후에 허용이나 거절을 결정한다.

허용을 눌러 앱이 최고 관리자 권한을 획득하면 기기를 조작하도록 도와주는 '비지박스'를 활용해 폴더생성, 권한 부여, 파일 복사까지 수행한다. 해당 앱을 삭제해도 제조사는 계속해서 기기를 제어한다. 앱과 함께 설치된 'motionelf_server' 파일은 뒤(백그라운드)에서 계속 실행된다.

해당 파일은 쉘 명령어로 실행하는데 기기 내부 설정을 조정한다. 기기 정보를 시작으로 게임패드와 상관없이 사용자가 어떤 앱을 실행하는지 실시간으로 전송한다. 파일을 완전히 삭제하려면 기기를 재부팅해야 한다.

이스트시큐리티는 “해당 앱이 사용자에게 어떤 고지도 없이 과도한 정보를 수집한다”면서 “정보를 제작사 서버로 전송하는 것도 확인했다”고 말했다. 이어 “제조사는 사용자에게 어떤 정보를 수집하고 전송하는지 정확하게 알리고 동의를 받아야 한다”고 지적했다.

김인순 보안 전문기자 insoon@etnews.com