개인적인 메세지, 음성사서함, 인터넷 접속 기록, 암호, 위치정보와 같은 사적 휴대전화 데이터가 전 세계 수십만명의 사람들이 모르는 사이에 소비자 등급의 스파이웨어에 의해 추적당하고 있습니다.
미국의 정보통신 매체인 테크크런치(TechCrunch)의 정보보안 분야 편집자인 잭 휘태커(Zack Whittaker)의 보고서에 따르면, 중대한 보안 취약점을 공유하는 소비자 등급 스파이웨어 앱들을 통해 최소 40만명의 사적 데이터를 수집하는 방대한 규모의 스토커웨어 네트워크가 활동중입니다.
스토커웨어 앱 네트워크는 무상표(white-label) 안드로이드 스파이웨어 앱들의 집합으로서 존재합니다. 각기 다른 앱 이름과 미국 기업 소유임을 주장하는 동일한 웹사이트를 내세우고 있지만, 테크크런치의 조사에 따르면 실제로는 1Byte라는 베트남 주재 기업에 의해 운영되고 있습니다.
동의 없이 사람들을 추적하고 감시하는 기능 때문에 "스토커웨어" 라는 별칭이 붙은 이러한 소비자 등급의 스파이웨어는 목표 기기에 잠깐만이라도 접근할 수 있다면 누구나 쉽게 설치가 가능합니다. 직원들을 감시하거나 자녀를 추적하는 앱으로 홍보되기도 하지만, 헤어진 또는 현재의 연인 및 배우자를 감시하려는 가정폭력 사범에 의해 흔히 사용됩니다. 테크크런치는 어떻게 이것이 앱 개발사와 앱 사용자 모두에 의해 비도덕적으로 악용되는지를 여론에 알리기 위해 스파이웨어 산업을 여러 차례 조사하였습니다.
잭 휘태커의 최근 테크크런치 보고서에 의하면 기기 내부 데이터 전체에 원격으로 접근할 수 있는 보안 취약점을 지금까지 총 아홉 개의 정체가 밝혀진 안드로이드 스파이웨어 군단 전체가 공통적으로 가지고 있습니다. 휘태커가 파악한 취약점은 "안전하지 않은 직접 객체 참조(IDOR)"로 알려진 버그들에서 유래하는데, 이는 불충분한 보안 제어로 인해 서버에 있는 파일이나 데이터가 노출되는 흔한 웹 애플리케이션 결함입니다.
휘태커는 피해자들이 이러한 사실을 인지하도록 해당 앱 제작자들 및 스파이웨어에 백엔드 기반을 제공하는 기업인 코데로(Codero)에 알리고자 노력했지만 수포로 돌아갔다고 말했습니다. 그는 이렇게 적었습니다. "해당 취약점이 이른 시일 내에 해결될 것 같지 않기 때문에 테크크런치는 앞으로 스파이웨어 앱과 그 운용에 대해서 더 많은 것들을 공개할 것입니다. 만약 안전한 상황에서 스파이웨어 앱을 삭제할 수 있다면, 취약한 기기의 소유자들이 스스로 삭제를 할 수 있도록요."
미국 카네기멜론 대학교 소프트웨어 공학 연구소의 보안 취약점 공개 센터인 CERT/CC는 이 문제에 대한 취약점 공지를 게재하였습니다.
테크크런치는 취약점과 함께 그 외관과 작동 방식이 사실상 동일한 Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker and GuestSpy 앱을 찾아내었습니다.
테크크런치는 기기가 이러한 스파이웨어 앱에 의해 취약해진 경우 이를 감지하고 삭제할 수 있는 방법을 알려주는 안내문을 만들었습니다. 기기의 소유자가 스토커웨어를 삭제하는 경우 그 사실이 스토커웨어를 기기에 심어놓은 사람에게 알려질 수 있으며, 이는 위험한 상황을 초래할 수 있으므로 소유자가 안전 계획을 확실히 세워놓아야 한다고 테크크런치는 경고합니다. 스토커웨어 저항 연합(Coalition Against Stalkerware)을 방문하셔서 안전 계획을 수립하는 데 필요한 참고 사항과 기타 정보들을 확인해보세요.
스토커웨어를 막기 위한 캠페인의 주도자 중 하나로서, 전자 프론티어 재단은 1Byte 및 그들의 스토커웨어 앱 네트워크로부터 잠재적 스토킹 피해자와 가정폭력 피해자를 지키기 위해 미국 연방거래위원회(FTC)가 과거 유사한 사건들과 마찬가지로 조사에 착수하기를 촉구합니다. FTC는 작년에 스파이폰(SpyFone)이라는 안드로이드 스토커웨어 앱을 만든 개발사인 서포트 킹(Support King)과 그 CEO인 스콧 저커먼(Scott Zuckerman)을 제재하였습니다. 스토커웨어 기업에 FTC가 최초로 금지 처분을 내린 서포트 킹 사건은, 악의적 스토커웨어 앱에 대항하고 폐쇄시키기 위한 노력으로써 EFF의 사이버보안 디렉터인 에바 갤퍼린(Eva Galperin)과 EFF가 '스토커웨어 저항 연합'을 결성한 지 2년 뒤에 일어났습니다. 그 전에 FTC가 취한 가장 강력한 조치는 레티나-X(Retina-X)라는 기업의 모바일 앱이 '반드시 적법한 목적으로 사용되는지' 확신할 수 있기 전까지 그 앱의 배포를 중단하도록 한 2019년의 법원 합의였습니다. 타인의 통신을 몰래 감시하기 위해 타인의 기기에 숨겨진 스파이웨어를 설치하는 행위는 컴퓨터 사기 및 남용 법률(CFAA), 도청에 관한 법률, 스토킹 방지 법률 등을 비롯한 여러가지 법률을 위반할 수 있습니다.
스토커웨어는 그 성질상 디지털 기술을 활용한 오남용에 사용되는 위험한 도구입니다. 보안이 취약한 스토커웨어는 그보다 훨씬 위험한데, 완전히 새로운 종류와 범위의 가해자들에게 앱의 피해자를 노출시키기 때문입니다. 1Byte와 같은 기업은 똑같은 앱을 포장만 바꿔서 언제든 새로운 이름으로 출시할 수 있기 때문에 그들에겐 굳이 스토커웨어를 안전하게 만들 동기가 충분하지 않습니다. 휘태커가 수행한 바와 같은 연구조사는 가해자와 기회주의적 해커들로부터 앱의 피해자를 보호하는데 필수적이지만 여기에는 반드시FTC의 조치가 함께 따라야 합니다.