자녀 모니터링 위한 감시 앱, 뒤에서 정보 줄줄 흘려

‘감시’를 주요 기능으로 내세운 소프트웨어들이 심심찮게 보안 문제거리로 화제가 되는 가운데, 최근 에릭 데이글(Eric Daigle)이라는 보안 전문가가 캣워치풀(Catwatchful)이라는 안드로이드 앱을 조사했다. 이런 류의 소프트웨어는 특정 인물이나 장비를 추적하게 해주는 것으로, 주로 부모들이 원격에서 자녀들을 살필 수 있다는 식으로 광고되어 팔린다. 하지만 개발자 측에서 노골적으로 감시와 추적 기능을 자랑하지는 않는 편이다. 소비자들 사이에서는 ‘감시’나 ‘추적’에 대한 반감이 강하기 때문이다.

데이글에 의하면 캣워치풀은 그런 점에서 달라 눈에 띄었다고 한다. “캣워치풀이 스토커웨어임을 노골적으로 광고하고 있었습니다. FAQ 섹션을 통해 상대방 모르게 핸드폰 모니터링도 할 수 있고, ‘절대적 은폐’도 가능하다고 여과 없이 자랑하고 있거든요. 감지도 안 되고 제거도 안 되고 중단도 안 되고 종료도 안 되고, 오직 사용자만 수집된 정보를 볼 수 있다고 개발사가 직접 설명하고 있습니다.”

직접 앱 분석을 실시하기 위해 데이글은 먼저 무료 체험 계정을 만들었다. 그러자 두 개의 포스트(POST) 요청이 발생했다. 하나는 파이어베이스 계정 생성에 성공했다는 내용이고, 다른 하나는 파이어베이스 인스턴스와 catwatchful.pink의 자체 데이터베이스 양쪽에 계정이 생성됐다는 내용이었다. 첫 번째는 별 문제가 없었지만, 두 번째는 살짝 불안한 감을 주었다고 한다. (이 ‘불안함’과 관련된 내용은 뒤에 이어진다.)

그렇게 계정 생성을 마치고 로그인하면 APK 파일을 다운로드 할 수 있게 된다. “방금 다운로드 된 APK가 또 다른 APK 파일을 설치하는데, 이 두 번째 앱은 시스템의 모든 권한을 요구하고, 원래 설치했던 인스톨러 APK 앱을 제거하라고 유도합니다. 이 후 이 두 번째 APK는 스스로를 ‘설정’ 아이콘으로 위장합니다. 그리고 항상 백그라운드 상태에서 실행됩니다. 일반적인 안드로이드 스토커웨어 설치 과정이 그대로 이어지는 것입니다.”

이렇게 한 후 웹 인터페이스를 통해 로그인 하면 테스트용 핸드폰을 감시할 수 있는 제어판이 나타난다고 데이글은 설명을 이어간다. 그런데 여기서도 기존 스토커웨어와의 차이점을 발견할 수 있었다고 한다. “앱이 매우 잘 작동하고 있었습니다. 기존 스토커웨어들은 조악하게 짜깁기 된 오래된 코드 덩어리로 만들어져 반쯤 망가져 있는 게 보통이었습니다. 하지만 캣워치풀은 달랐습니다. 지연도 거의 없었고, 광고되어 있는 기능들이 아주 잘 구현됩니다. 실시간 사진 촬영과 마이크 녹음 기능은 완벽에 가까웠습니다. 피해자는 아무런 이상함을 감지할 수 없었습니다.”

이렇게 교묘하게 수집된 모든 개인정보는 처음 등록된 파이어베이스에 저장되는 것으로 보였다. “트래픽을 가로채 분석했습니다. 실제로 수집된 파일이 직접 파이어베이스로 업로드 되고 있다는 걸 알 수 있었습니다.” 만약 여기서 그쳤다면 데이글은 크게 문제삼지 않았을 것이다. 왜냐하면 파이어베이스는 일반적으로 SQL 공격 등에 안전하고, 보안 실수가 있더라도 빠르게 제거하는 편이기 때문이다. 하지만 위에서 지적된 것처럼 서비스 가입 과정에서 사용자는 catwatchful.pink로도 저절로 가입된다. ‘그렇다면 이 데이터베이스는 어떨까?’

분석해 보니 로그인 이후 catwatchful.pink 서버에도 여러 요청이 발생하는 것을 알 수 있었다. 주로 PHP API를 통해 제어판 인터페이스에 필요한 정보를 제공하기 위한 요청이었다. “하지만 첫 번째 요청을 분석했을 때, 인증 과정이 부재하다는 걸 알 수 있었습니다. 그래서 IMEI 매개변수만 알면 누구나 설치일, 마지막 접속일, 앱 상태와 같은 정보를 얻을 수 있었습니다.” 하지만 이 정보들은 그다지 민감한 정보가 아니다. 게다가 IMEI 값도 그리 쉽게 알아낼 수 있는 게 아니었다. 문제가 없는 건 아니었으나, 공론화 할 정도로 심각한 건 아니라고 데이글은 판단했다.

그래서 SQL 주입 공격을 시도해 보았다. “2025년에 운영 중인 서비스인데, 설마 SQL 주입이 가능할까 싶었습니다. 그런데 별다른 연구나 고민 없이도 공격에 성공할 수 있었습니다. 단순히 ‘공격이 성립한다’를 알아낸 게 아니라, 실질적으로 catwatchful.pink에 저장돼 있는 데이터베이스를 덤핑할 수 있다는 것까지 확인했습니다. 즉 누구나 스토킹 해서 정보를 수집한다는 앱이, 데이터베이스에 간단한 취약점을 방치해 두고 있어 모든 민감 정보가 고스란히 드러나게 하고 있었다는 뜻입니다.”

실질적으로 데이글이 얻어낸 정보들은 무엇이었을까? “약 6만 2천 개의 계정 이메일과 비밀번호였습니다. 이 모든 정보들이 평문으로 저장되어 있었기 때문에 덤핑만 하면 자동으로 확보되는 것과 마찬가지였습니다. 여기서부터는 스토커웨어 운영자를 식별하는 것도, 클라우드 제공 업체에 신고해 서비스를 차단하도록 하는 것도 가능합니다. 하지만 저는 그 이후의 후속 조치를 취하지 않고 언론에 제보했습니다.” 그가 자신의 블로그에 밝힌 내용은 여기까지다.

보안 업체 멀웨어바이츠(Malwarebytes)는 자사 블로그를 통해 “애초에 이런 식의 감시 앱을 설치하지 않는 게 가장 좋다”고 강조했다. 그러면서 스토커웨어 혹은 스파이웨어들이 스스로 안전하다고 광고했지만 결국 각종 보안 사고를 일으켰다는 걸 상기시켰다. “스파이지(Spyzie), 코코스파이(Cocospy), 스파익(Spyic), 스파이하이드(Spyhide), 엠스파이(mspy) 등 사례는 얼마든지 있습니다.”

또한 상대의 동의나 허락 없이 추적하는 행위는 대부분 국가에서 불법이라는 것도 멀웨어바이츠는 짚었다. “개인이 사적인 이유로 타인을 추적하는 걸 쉽게 허용해주는 국가는 그리 많지 않습니다. 추적이 합법화 된 곳이라 하더라도 그건 정부의 이야기일 뿐입니다. 또한, 은밀한 추적과 감시를 통해 해결할 수 있는 문제도 별로 없습니다. 오히려 그런 도구를 사용했다는 게 더 큰 문제로 이어질 뿐이죠. 다른 방식의 해결책을 알아보시는 걸 강력히 추천합니다.