미국 정부 공식 앱에서 화웨이 스파이웨어 코드가 발견됐다

TikTok은 금지하면서, 정작 자기네 앱은?

미국 정부가 "국가 안보 위협"이라는 이유로 TikTok을 금지한 건 다들 기억하실 거예요. 중국 기업이 만든 앱이 미국 시민의 데이터를 수집할 수 있다는 게 핵심 논리였죠. 그런데 최근 보안 연구자 Sam Bent가 미국 백악관 공식 앱을 분석했더니, 아이러니하게도 그 앱 안에 화웨이(Huawei)의 스파이웨어 관련 코드가 포함되어 있었다는 겁니다. 거기에 더해 ICE(이민세관단속국)에 불법 이민자를 신고할 수 있는 팁 라인 기능까지 들어 있었다고 해요.

이건 단순한 해프닝이 아니에요. 정부가 만든 앱, 이른바 "Fedware"가 정작 자신들이 금지한 앱보다 더 공격적으로 사용자 데이터를 수집하고 있었다는 얘기거든요.

구체적으로 뭐가 발견됐나

보안 분석 결과를 좀 더 자세히 살펴보면, 백악관 앱 내부에서 화웨이 모바일 서비스(HMS) 관련 SDK 코드 흔적이 발견됐어요. HMS가 뭐냐면, 구글 플레이 서비스(GMS)의 화웨이 버전이라고 생각하면 돼요. 화웨이가 미국 제재로 구글 서비스를 못 쓰게 되면서 자체적으로 만든 모바일 서비스 프레임워크인데요, 이게 미국 정부 공식 앱에 들어가 있다는 건 정말 모순적인 상황이에요.

이 SDK에는 기기 식별자 수집, 위치 추적, 푸시 알림을 통한 데이터 전송 등의 기능이 포함될 수 있어요. 물론 SDK가 포함되어 있다고 해서 반드시 활성화된 것은 아닐 수 있지만, 코드 자체가 존재한다는 것만으로도 보안 감사 관점에서는 심각한 문제예요.

또 하나 주목할 점은 ICE 신고 기능이에요. 백악관 앱에 "주변의 불법 이민자를 신고하세요"라는 기능이 들어가 있다는 건, 정부 앱이 단순한 정보 제공을 넘어 시민 감시 도구로 활용될 수 있다는 걸 보여주는 거죠. 이 기능은 사용자의 위치 정보와 결합되면 신고자와 피신고자 모두의 위치를 추적하는 데 활용될 수 있어요.

앱 보안 분석, 어떻게 하는 걸까

개발자 입장에서 흥미로운 부분은 이런 분석이 어떻게 이뤄지는가 하는 점이에요. 모바일 앱의 보안 분석은 크게 정적 분석과 동적 분석으로 나뉘는데요, 정적 분석은 APK(안드로이드 패키지) 파일을 디컴파일해서 소스 코드를 들여다보는 방식이에요. jadx 같은 도구를 쓰면 APK를 Java 소스 코드에 가깝게 복원할 수 있거든요. 이번 분석에서도 이런 방식으로 HMS SDK의 패키지명과 클래스들이 발견된 거예요.

동적 분석은 앱을 실제로 실행하면서 네트워크 트래픽을 가로채 보는 방식이에요. Charles Proxy나 mitmproxy 같은 도구로 앱이 어디로 데이터를 보내는지 실시간으로 확인할 수 있죠. 서드파티 SDK가 어떤 서버로 어떤 데이터를 전송하는지 파악하는 데 아주 유용한 방법이에요.

이건 미국만의 문제가 아니에요

사실 정부 앱의 보안 문제는 전 세계적인 이슈예요. 한국도 예외는 아닌데요, 코로나 시기에 자가격리 앱이나 QR 체크인 앱의 개인정보 수집 범위에 대한 논란이 있었던 걸 기억하시는 분도 있을 거예요. 정부 앱은 사실상 "설치하지 않으면 불이익이 있을 수 있는" 앱이기 때문에, 일반 상용 앱보다 더 높은 수준의 보안과 투명성이 요구돼요.

유럽에서는 GDPR 덕분에 정부 앱이라도 데이터 수집 목적과 범위를 명확히 공개해야 하고, 독립 기관의 감사를 받아야 해요. 반면 미국은 이런 통합 규제가 약한 편이라 이번 같은 일이 발생할 수 있었던 거죠.

한국 개발자가 가져가야 할 포인트

이 사건에서 한국 개발자들이 눈여겨볼 점이 몇 가지 있어요. 첫째, 서드파티 SDK 관리의 중요성이에요. 우리가 앱을 만들 때 수많은 SDK를 가져다 쓰잖아요. 광고, 분석, 푸시 알림 등등. 그런데 그 SDK 안에 어떤 코드가 들어 있는지 꼼꼼히 확인하고 있나요? 이번 사건은 SDK 하나가 앱 전체의 신뢰를 무너뜨릴 수 있다는 걸 다시 한번 보여줘요.

둘째, 앱 보안 감사 역량을 키워두면 좋아요. jadx, apktool, Frida 같은 도구들은 보안 전문가만 쓰는 게 아니에요. 자기가 만든 앱이 의도치 않게 민감한 데이터를 외부로 보내고 있지 않은지, 릴리즈 전에 한번 확인해보는 습관을 들이면 큰 사고를 예방할 수 있어요.

셋째, 공공 앱 프로젝트에 참여하는 분이라면 소프트웨어 자재명세서(SBOM) 개념을 알아두면 좋겠어요. SBOM은 앱에 포함된 모든 구성 요소의 목록인데요, 최근 미국에서도 SBOM 제출을 의무화하는 움직임이 있어요. 이런 명세서가 제대로 관리됐다면 화웨이 SDK가 정부 앱에 포함되는 일은 사전에 잡아낼 수 있었겠죠.

정리하자면

보안을 이유로 남의 앱은 금지하면서 자기네 앱은 관리하지 않는다면, 그건 보안이 아니라 정치인 거예요. 개발자로서 우리가 배울 건 명확해요. 내가 만드는 앱에 어떤 코드가 들어가는지, 그 코드가 무슨 일을 하는지 항상 파악하고 있어야 한다는 거죠.

여러분이 지금 작업하고 있는 프로젝트에는 어떤 서드파티 SDK가 포함되어 있나요? 그 SDK들이 정확히 어떤 데이터를 수집하는지 확인해보신 적 있으신가요?