# 최근 직장인 정모씨는 황당한 경험을 했다. 평소에 이용하던 다이어리 앱이 '알약 안드로이드'에서 '주의'라는 메시지가 떴기 때문이다. 그래서 부랴부랴 백업부터 하고, 앱을 삭제했다. 중국 앱스토어에서 1위까지 한 국산 어플이었지만, 자신의 스마트폰에 악성코드를 심었다는 느낌이 들어 괘씸한 생각이 들었다.

오진으로 된서리 맞는 앱 개발자
위의 상황에서 앱을 내려 받은 직장인 정모씨, 알약 안드로이드를 개발한 이스트소프트, 다이어리 어플 개발자 중에서 누구의 잘못일까. 결론부터 말하면 알약 안드로이드로 멀쩡한 앱을 악성코드로 판별했고, 직장인 정모씨는 알약 안드로이드의 '주의' 메시지를 보고 삭제를 한 것 뿐이다.

참고로 알약 안드로이드는 지난해 12월 이스트소프트가 출시한 안드로이드폰 전용 백신으로 다운로드 횟수 100만 건을 돌파할 정도로 시장에서 반응이 좋다. 특히 2011년 1월말 기준으로 이동통신 3사 통합 안드로이드폰 사용자 수가 600만 명인 것으로 집계된 것을 고려하면, 6명 중 1명이 알약 안드로이드 앱을 설치한 셈이다.

이러한 앱이 '주의'라는 메시지를 띄운다면, '보안업체가 만든 앱이니 믿을 만 할거야'라는 생각으로 대부분 사용자는 앱을 삭제하는 것이 일반적이다. 상식적으로 '개발사 주의'로 나오고, 앱 설치시 단순히 '주의'로 처리가 되면 이런 절차를 모르는 사용자는 바이러스가 있는 것으로 오해하기 쉽기 때문이다.

결국 사용자와 어플 개발자는 금전적으로 손해를 보며, 개발사라면 명백한 허위 사실 유포와 업무 방해로 고소할 소지가 다분하다. 문제는 여기에 그치지 않고 알약 안드로이드의 오진으로 인한 피해가 비일비재하다는 점이다.

이스트소프트의 애매한 기준, 개발사 안정성 지수
이스트소프트는 '알약 안드로이드'에 바이러스 검증 외에 개발사의 안정성 지수를 표시하여 사용자에게 특정 앱에 대한 안정성 여부를 보여준다. 앞에서 언급된 '주의' 등급은 알약 안드로이드의 보안 등급 중 하나로 악성코드로 분류한 '위험' 앱과 다르다.

이스트소프트에 따르면 '주의' 등급은 제품 다운로드 수와 사용자 평가가 저조하거나 개발사 정보가 정확히 확인되지 않으면 표시되는 등급이다. 또 판단할 기준이 없거나 보안위협 가능성이 있는 퍼미션을 사용하면 사용자에게 보안공지를 위한 목적으로 사용된다.

현재 알약 안드로이드의 등급 분류 기준은 다음과 같다.
1. 평가되는 앱의 퍼미션 정보와 개발자 신뢰도를 대표할 수 있는 제품 다운로드 수를 기본으로 보안점수를 평가하여 1차 등급을 제공한다.
2. 개발자 안전 지수가 낮은 경우 안드로이드 마켓 사용자 평가 점수 및 해당 앱 관련 공식 홈페이지를 통해 개발사 검증 등 2차 평가를 진행한다.
3. '주의' 등급을 받은 앱은 재평가 이후, '안전' 등급으로 인식하는 긴급 DB를 업데이트한다.
4. 해당 앱을 개발한 개발자나 개발사는 화이트리스트로 처리, 향후 개발하는 모든 앱은 기본적으로 '안전' 등급으로 평가한다.

이를 1인 개발자와 신생 개발사에 적용한다면 처음부터 '주의' 등급을 받고 시작하는 셈이다. 인지도가 없고, 초반 다운로드 수와 평점이 낮다면 피해를 고스란히 입는다. 앱의 특성 상 초기 런칭이 결정적임에도 '주의' 등급으로 평가받는다면 사용자에게 외면 받는 것은 당연지사다.

또 T스토어까지 등록된 앱을 이스트소프트의 기준으로 판단한다는 것도 문제시 되고 있다. 풀이하자면 이스트소프트가 T스토어의 바이러스 검증 능력을 의심하고 있다는 의미이다.

결국 보안업체에서 출시한 보안어플이라는 특정 지위를 이용, 아무런 문제가 없는 앱을 사용자에게 악성코드로 오인하게끔 만들어 피해를 입혔음에도 이스트소프트는 묵묵부답으로 일관하고 있다.

익명을 요구한 한 개발자는 "과거 악성코드 유포 경험이 있는 것도 아니고, 신생 개발사라는 이유로 개발사 ‘주의’를 받고 초기 런칭 단계가 중요함에도 사용자들로부터 악성코드 배포 업체로 인식 되는 것이 안타깝다. 해당 업체에 사과문 공지를 요구했으나 사용자들이 개발자 분류 기준을 잘 몰라서 그런 것일 뿐 잘못이 없다는 이스트소프트의 답변에 답답할 뿐이다"라고 말했다.