안드로이드 악성코드로 인해 피해를 입은 사례가 국내에서도 하나 둘씩 나타하고 있습니다.

최근에 안드로이드 악성코드에 피해를 입었다는 제보도 들어오고 있습니다. 지난 28일 ‘안드로이드 악성코드, 급증하는 이유는?’라는 기사를 보고 전화를 주신 독자가 있었습니다.

A라는 사용자는 안드로이드 마켓에서 애플리케이션(앱)을 내려받았는데 정보이용료로 23만원이 청구됐다고 제보해왔습니다.

그는 이동통신사 상담직원과 통화해 그 정보이용료가 안드로이드 마켓에서 내려받은 어떤 앱을 사용한 이용료인 것을 인지하게 됐다고 합니다. 그러나 상식적으로 앱을 내려받아 몇 번 실행했을 뿐인데 수십만원의 정보이용료가 나온다는 것은 의아한 일이지요.

그래서 인터넷을 찾아보니 악성코드로 인한 금전적인 손해가 발생할 수 있다는 기사를 보고 저에게 전화를 한 것이었습니다.

그 사용자는 “해당 앱의 이름은 정확히 기억나지 않아요. 지금 찾아보니 안드로이드 마켓에서는 내려가 있네요”라며 “단 몇분만에 20만원이 훌쩍 넘는 정보이용료가 청구됐는데 이 같은 피해는 누가 보상해주나요?”라고 반문했습니다.

실제로 이런일이 있을 수 있는지 구글 안드로이드 마켓 담당쪽에 문의를 했습니다.

Q : 안드로이드 마켓에서 악성코드가 탑재된 앱이 존재할 수 있는가?
A : 악성코드가 있는 앱은 구글에서 차단을 하기 때문에 존재하지 않는다.

Q : 지난 3월, 6월 각각 악성코드가 심어진 APK 파일이 마켓을 통해 유통된 적이 있고, 이에 대해 구글측에서 직접 조취를 취한 적이 있는데 이는 어떻게 된 것인가?
A : 마켓을 모니터링하는 직원이 상시 있기 때문에 문제가 발생하기 전 진단한 것 뿐이다.

아울러 이러한 악성코드에 피해를 입더라도 구제할 수 있는 방법은 거의 없다고 하네요.

이와 관련해 모바일 보안솔루션 업체들에게 문의를 했으나 해당 앱의 이름도 모르는 상황에서 왈가왈부하긴 곤란하다는 입장을 비췄습니다.

이러한 문제는 구글이 안드로이드 마켓에 올라오는 앱들을 사전에 검수하지 않기 때문입니다. 애플과 달리 안드로이드 마켓은 개발자 등록비 25달러만 지불하면 언제든지 앱을 마켓에 올릴 수 있습니다. 이 때문에 구글에게 책임을 묻기가 힘든 것이 사실입니다.

이는 재래시장에서 상인들이 파는 물건에 대한 책임을 재래시장 조합장이 지지 않는 것과 동일한 개념입니다. 물론 도의적인 책임은 질 수 있겠지만, 문제해결에는 도움이 되지 않습니다.

그렇다보니 마켓에 등록된 앱이 어떠한 악성코드와 문제점을 안고 있는지 사용자는 알 방법이 없습니다. 단지 해당 앱이 어떠한 권한(통화내역, SMS, 인터넷, GPS 사용 등)을 이용하는지 파악할 수밖에 없습니다.

이번 사례는 안드로이드는 앱 리패키징(App. RePackaging)이 수월하다는 점을 악용한 것 처럼 보이기도 합니다. A 사용자는 로비오사의 앵그리버드와 유사한 앱을 내려받은 이후에 정보이용료가 청구됐다고 전했습니다.

안드로이드 앱은 ‘APK’ 형식을 가진 파일로 내려받게되는데, 이는 일종의 압축파일입니다. 압축을 풀고 악성코드를 심은 다음 다시 패키징 작업을 거치면 겉으로 보기에는 정상적인 앱으로 보일 수 있습니다.

가정을 하자면 앵그리버드 APK 파일을 분해해 특정 영역에 결제나 과금을 할 수 있는 프로세스를 심어두고 이를 다시 패키징해서 올렸을 수도 있다는 의미입니다.

안드로이드 마켓에서 악성코드로 인한 피해를 입었다면 구제받기가 매우 힘듭니다. 이를 방지하기 위해서 자신의 스마트폰은 자신이 지킨다는 생각을 해야할 것 같습니다.

안철수연구소, 이스트소프트, 쉬프트웍스 등의 보안업체들이 무료로 제공하는 모바일 백신을 꼭 설치하고, 앱을 내려받아 설치하기 전 사용자들의 평가를 유심히 살펴보길 바랍니다.

아울러 의심가는 앱은 애초에 내려받지 않는게 좋다는 것은 당연히 알고 계실 것이며, 불필요한 앱은 삭제하는 것도 좋은 방법입니다.

◆오라클, 썬마이크로시스템즈 인수하며 전쟁의 시작을 알리다

컴퓨터공학을 전공한 사람이라면 한번쯤은 다뤄본다는 자바(Java).

자바는 썬마이크로시스템즈(썬)의 제임스 고슬링이 개발한 객체지향 언어입니다. 처음에는 가전제품에서 특정 기능을 독립적으로 운용할 수 있도록 개발됐으나 현재는 웹, 모바일 애플리케이션 개발에 널리 사용되고 있습니다.

썬은 자바와 함께 코딩SW인 이클립스를 함께 공개했습니다. 누구나 자바로 프로그램을 개발할 수 있고 판매도 할 수 있도록 말이죠.

전세계 스마트폰 시장의 40%를 차지하고 있는 안드로이드가 바로 자바를 사용합니다.

2009년 4월 상황이 급박하게 돌아가기 시작합니다 오라클이 썬을 인수하면서 썬이 보유한 모든 기술특허를 함께 취득했기 때문입니다. 업계에서는 오라클이 자바특허를 내세우며 소송을 추진할 것이라고 예상했습니다.

이듬해 8월 12일, 오라클은 구글을 상대로 특허침해소송을 걸었습니다. 구글이 자바 라이선스를 획득하지 않았음에도 불구하고 무단으로 사용했다는 것이 소송의 이유였습니다.

구글과 오라클, 전쟁이 시작됐습니다.

(안드로이드는 리눅스커널을 기반으로 자바가상머신(정확히 달빅가상머신)을 사용하고, 자바로 개발된 앱을 구동시킬 수 있습니다)

◆구글 “우리는 달빅가상머신 쓴다”…오라클 “그것도 우리 기술 침해”

구글이 자바의 특허를 침해하지 않았다고 주장하는 것에는 AHJI도 있지만 기저에는 자체적으로 개발한 달빅가상머신<상단 이미지>이 깔려있습니다.

달빅가상머신(DVM)은 구글에서 자바가상머신(JVM)을 기초로 만든 새로운 가상머신입니다. 레지스터 머신형태를 띄고 있으며 안드로이드에 탑재됐습니다.

달빅가상머신은 자바가상머신과 달리 낮은 메모리에서도 구동될 수 있도록 개발됐습니다. 모바일 디바이스에 최적화된 가상머신이라고 봐도 무방한 것이죠.

이 때문에 구글은 ‘자바가상머신과 달빅가상머신은 다른 것으로 봐야한다’고 주장합니다. 달빅가상머신에서 구동되는 코드(.dex)는 자바가상머신에서 돌아가는 코드와 전혀 다르기 때문입니다.

그러나 오라클은 달빅가상머신이 자바 스탠다드 에디션을 기초로 JNI, OEM(자바API)를 짬뽕시켜 만들었다고 주장하고 있습니다.

지난 4월 청문회에서 오라클 담당 변호사는 안드로이드 개발자들이 자바 내에서 코딩을 하고, 컴파일러를 통해 코드를 실행하는데, 비록 코드는 자바 가상머신이 아니라 구글의 달빅 가상머신에서 구동되는 .dex 파일로 변환되지만 기본적인 원칙은 똑같다고 주장하기도 했습니다.

컴퓨터공학과 출신이라면 꼭 배우는 과목이 바로 리눅스(Linux)입니다.

리눅스는 서버에서만 사용할 수 있었던 유닉스(UNIX)를 일반PC에서 사용할 수 있도록 만든 운영체제(OS)로 1991년 핀란드 헬싱키대학교에 재학중이던 리누스 토발즈가 개발했습니다.

1991년 8월 26일 리누스 토발즈는 향후 IT산업의 한 획을 긋는 포스팅을 하게 됩니다.

리눅스의 아버지 리누스 토발즈는 지금도 여전히 리눅스커널의 개발과 오픈소프트웨어 프로젝트를 진행하고 있습니다.

지난 15일(현지시각) 구글은 태블릿용 운영체제인 안드로이드 3.2(허니콤)을 공식 발표하고 소프트웨어개발도구(SDK)도 함께 공개했습니다.

이번에 공개된 SDK에서 가장 주목되는 점은 바로 지원하는 해상도가 다양해졌다는 것입니다.

과거 안드로이드 3.1에서는 허니콤의 사용자인터페이스(UI)와 기능들이 특정 해상도 이상에서만 제대로 동작할 수 있어 해상도(스크린크기)가 맞지 않으면 허니콤 탑재를 불허했습니다. 같은 이유로 갤럭시탭7인치에는 프로요가 탑재돼 출시됐죠.

그러나 안드로이드 3.2에서는 이러한 가이드라인이 다소 느슨해질 것으로 보입니다. 우선 안드로이드 3.2 SDK에는 스크린지원API가 새롭게 공개됐습니다.

실제로 SK텔레콤은 트위터를 통해 “삼성전자로부터 확인해 본 결과, 갤럭시탭의 경우 추후 허니콤으로 업데이트될 예정이지만, 정확한 일정은 미정”이라고 밝힌바 있습니다.

갤럭시탭7인치가 ‘벌집과자’를 먹을 수 있을지, 없을지 기대됩니다.

삼성전자 갤럭시 시리즈의 안드로이드 진저브레드(Gingerbread) 업데이트가 바로 오늘(17일) 진행될 예정입니다.

(관련기사 : 삼성전자, 갤럭시 시리즈 ‘진저브레드’ 업글 ‘시동’)

다운로드는 웹브라우저에서처럼 안드로이드폰에서 내려받은 파일들을 관리할 수 있는 기능을 수행합니다. 날짜별로 정렬돼 있어 쉽게 찾고, 사용할 수 있었습니다.

또한 이전버전 프로그램 관리자에서는 안드로이드폰에 설치된 앱의 목록과 설치용량만 보여줬다면 진저브레드에서는 남은 용량을 하단의 그래프를 통해 보여줍니다. 현재 구동되고 있는 프로세스에 대한 정보도 보여줍니다.

눈에 띄는 부분은 배터리 효율성을 높이기 위한 새로운 기능입니다.

기존의 배터리매니저와 동일하나 상단에 ‘배터리 사용 시간’이 추가됐습니다. 또한 스마트폰에 탑재된 센서들의 사용여부에 따른 배터리 소모도 실시간으로 보여줍니다. 이로써 사용자들은 배터리관리가 수월해질 것으로 예상됩니다.

(실제로 약 3시간정도 사용해본 결과 프로요보다는 배터리 관리성능이 우수해진 것을 체감했습니다.)

또한 현재 백그라운드에서 구동되고 있는 앱들의 목록과 구동시간, 가용램의 크기도 보여줌으로써 퍼포먼스를 사용자 스스로 조절할 수 있게 됐습니다.

진저브레드부터 제공하는 원터치 단어 선택 기능도 탑재돼 있었습니다. 실제로 사용해보니 손이커서 조작이 힘들었던 분들도 쉽게 사용할 수 있을 것으로 보입니다.

SK텔레콤의 자랑거리 중 하나인 티맵(Tmap)도 3.0 버전으로 기본탑재 돼 있습니다. 그러나 티맵의 맵데이터는 티맵사이트를 통해서 내려받아야 했습니다.

그러나 진저브레드 펌웨어를 업데이트 한 후 의아한 점은, ‘인터넷 전화 기능’이 탑재돼 있지 않았다는 점입니다.

NFC(근거리무선통신)의 경우 갤럭시S에 칩셋이 탑재돼 있지 않아 어쩔 수 없다고 치더라도, 인터넷 전화 기능이 빠져있다는 것은 의문을 갖게 합니다.

쿼드런트스탠다드(Quadrant Standard) 점수는 1200~1300점대로 나왔습니다.

갤럭시S 진저브레드는 대체적으로 만족스러웠습니다. 터치위즈 특유의 버벅거림(?)도 많이 개선됐고, 인터넷 브라우징 속도도 빨라졌습니다.

램의 효율이 얼마나 좋아졌는지 수치상으로 확인하지는 못했으나, 10개의 앱을 실행시켰다가 종료시켜도 별 무리없이 사용할 수 있었습니다. 앞서 나온 쿼드란트스탠다드 점수는 단순히 숫자일 뿐이므로 맹신하지 않으시는 게 좋습니다.

한마디로 갤럭시 시리즈의 진저브레드 업데이트, 기대하셔도 좋을 것 같습니다.

업데이트는 삼성전자 키스(Kies)를 통해 할 수 있습니다. 업데이트를 한다고 데이터가 삭제되는 것은 아니지만, 혹시 모를 오류를 대비해 백업해두시는 것을 추천합니다.

기존에 ‘RFS->EXT4, Nilfs’ 등의 랙픽스를 사용하시는 분들은 이를 꼭 해제하시고 진행하셔야 합니다. 아니면 안드로이드폰이 먹통이 돼 버리니까요. 또한 일부 이클레어/프로요 기반 앱들은 진저브레드에서 구동되지 않습니다.

구글이 안드로이드를 통해 ‘홈 오토메이션’ 영역에 도전할 모양입니다.

11일(현지시각) 구글은 개발자행사인 ‘구글 I/O’에서 ‘안드로이드 앳 홈(Android@Home)’이라는 플랫폼을 선보였습니다.

뭘까요 대체? ‘안드로이드 @ 홈’이라고 하니 안드로이드가 집안으로 들어온다는 의미로 해석되시나요?

미리 정답부터 알려드리자면 맞습니다. 구글은 안드로이드 플랫폼을 통해 ‘집안 일을 자동화하는 시스템’인 홈 오토메이션을 구축하려는 계획을 가지고 있습니다.

안드로이드로 홈 오토메이션을 구축하기 위해서는 해결해야 될 문제가 있습니다. ‘안드로이드 기기와 타 전자제품과의 연결을 어떻게 해결할 것인가’라는 점입니다.

구글이 구글TV는 만들었다지만, 게임기, 형광등 스위치 모듈, 밥솥과 같은 기기들을 다 만들 순 없지 않겠습니까?

그래서 구글이 내놓은 것이 ‘오픈 액세서리 API(Open Accessory API)’와 ‘액세서리 개발 도구(Accessory Develope Kit)’입니다.

구글이 제공하는 오픈 액세서리 API와 액세서리 개발 도구(일종의 마이크로프로세서)를 사용해 기기를 만들면, 안드로이드에서 조작이 가능해집니다.

구글 I/O 키노트에서 이와 관련된 실례를 시연하기도 했지만, 저는 좀 더 쉬운 예를 들어보겠습니다.

저는 아침에 일어나면 제일 먼저 커텐을 걷고 커피를 마십니다. 이전까지는 제가 손수 커텐을 걷고 에스프레소메이커를 켜야했지만, 구글의 오픈 액세서리를 사용하면 누워서 내 안드로이드폰으로 조작할 수 있습니다.

액세서리 개발 도구(하드웨어)에 모터를 달고, 특정 신호가 입력되면 모터가 작동돼 커텐을 걷게 한다거나, 에스프레소메이커 스위치에 오픈 액세서리 도구가 지원하는 ‘On/Off’ 기능을 프로그래밍해서 원격으로 조정할 수 있다는 의미입니다.

동영상으로 한번 보시죠. 이는 허니콤 태블릿에 오픈 액세서리 API를 적용한 앱을 설치해두고, 이를 실제 현실에 구현해낸 것입니다.

아실만한 분들은 아시는 ‘미궁(Labylinth)’라는 게임인데, 이 게임은 모바일 디바이스의 중력센서를 이용하는 앱입니다. 이를 실제로 구현할 수 있다는 점이 놀랍지 않으십니까?

시연에서는 허니콤태블릿이 유선으로 연결된 상태에서만 작동됐지만, 조만간 구글은 독자 프로토콜을 제공할 것입니다. 그것이 어렵다면 블루투스나 적외선센서(irDA)와 같은 기존 통신 프로토콜을 사용할 수도 있겠지요.

안드로이드 앳 홈 플랫폼이 기대가 되는 점은 또 있습니다.

오픈 액세서리 API와 하드웨어 설계소스가 무료로 배포된다는 점입니다. 가정용 전자기기 제조사들은 기존의 제품에 ‘안드로이드 오픈 액세서리 하드웨어 모듈’만 탑재하면, 안드로이드 앳 홈 플랫폼에서 사용할 수 있게 되기 때문에, 굳이 마다할 필요가 없어보입니다. 물론 설계소스가 무료이기 때문에 응용도 자유자재로 할 수 있겠죠.

개발자들도 제조사와 다를 바 없습니다. API가 제공되니 만들고 싶은 것을 마음껏 만들 수 있습니다. 안드로이드 플랫폼 하나로 산업이 확장된다고 말해도 무리는 없어보입니다.

아참, 구글의 오픈 액세서리 API는 진저브레드 2.3.4, 허니콤 3.1부터 지원합니다.

애플의 위치정보 무단 수집이 논란이 되고 있는 가운데, 국내에서도 사용자의 위치정보를 무단으로 수집·보관·활용한 업체가 등장해 충격을 주고 있습니다.

27일 서울지방경찰청 사이버범죄수사대는 2억건이 넘는 스마트폰 사용자의 위치정보를 무단으로 수집·보관·활용한 혐의(위치정보보호·이용법 위반)로 광고대행업체 3곳과 김모(39)씨 등 업체 대표 3명을 불구속 입건했습니다.

(관련기사 “혹시 나도?”…스마트폰 사용자 10%, 위치정보 무단 수집 당해)

이들이 배포한 앱은 겉으로 보기에는 정상적이지만, 뒤에서는 사용자의 위치정보를 무단으로 개발사의 서버에 전송한 것으로 드러났습니다.

그런고로 이번 포스팅에서는 위치정보를 수집하는 앱을 찾는 방법을 소개하고자 합니다.

소개에 앞서 애플 앱스토어와 구글 안드로이드 마켓 특성을 잠시 언급해 보겠습니다. 둘은 성격이 좀 다르니까요.

아이폰의 경우 앱스토어에 등록되기전 애플의 심사를 받기 때문에 불필요한 기능이 탑재돼 있으면 등록이 보류됩니다. 예를 들어 게임 앱에 GPS측정은 불필요하므로 이러한 기능을 앱에 탑재했을 경우 등록이 안 된다는 의미죠.

반면 안드로이드 마켓의 경우 심사과정이 없어 보안에 취약한 점이 존재합니다. 즉, 앱을 설치할 때 사용자 스스로 주의를 기울여야 한다.

(cf.오해의 소지를 막기위해 첨언을 합니다. 안드로이드 마켓이 앱스토어에 비해 취약하다는 것이지, 무작정 취약하다는 의견은 아님을 밝힙니다)

안드로이드 마켓에서 앱을 내려받을 경우 이 글의 최상단에 위치한 화면이 나옵니다.

해당 앱이 스마트폰의 어떤 기능을 활용해 구동되는지를 보여주고 있는 것이죠.

만화책 앱인데 위치정보(GPS)나 개인정보에 접근한다는 것은 의심해봐야 합니다.

이미 설치된 앱의 권한을 확인하기 위해서는 ‘설정 - 응용프로그램 - 응용프로그램 관리’에서 자세히 볼 수 있습니다.

앞으로는 앱을 설치하기 전, 해당 앱의 액세스 권한을 확인해보는 습관을 들여야 될 것 같습니다.