이 기사는 디지털자산 전문 매체 <디지털애셋>에서 작성했습니다.
[디지털애셋 박재연 기자] 구글이 금융정보분석원(FIU)에 미신고된 해외 가상자산거래소 앱의 사용을 사실상 차단하겠다고 예고하면서, 국내 투자자들의 이용 행태에 뚜렷한 변화가 나타나고 있습니다. 공식 앱스토어 접근이 막히자 일부 이용자들이 VPN(가상사설망) 우회 접속이나 APK(외부설치 파일) 직접 설치 등 비공식 경로로 이동하고 있는데요. 이 과정에서 심각한 보안 리스크가 생길 수 있다는 우려가 커지고 있습니다.
앞서 구글플레이는 지난 14일 FIU에 정식 신고하지 않은 가상자산사업자(VASP)의 앱에 대해 한국 구글플레이스토어에서 신규 설치와 업데이트를 오는 28일부터 제한하겠다고 공지했습니다. 이에 따라 해당 거래소 앱은 사실상 국내 공식 유통 채널에서 퇴출될 예정이며, 이용자들은 공식 지원 종료 시점인 28일 이전에 기존 앱을 대체할 수단을 찾고 있는 상황입니다.
구글플레이가 금융정보분석원(FIU)에 미신고된 해외 가상자산 거래소 앱의 다운로드와 업데이트를 제한하면서 가상사설망(VPN), APK 직접 설치 등 비공식 경로로 우회하는 시도가 늘고 있다.(이미지=디지털애셋)
해외거래소 앱을 이용하는 국내 투자자는 지난해 구글 플레이스토어 기준 바이낸스가 약 20여만명, OKX(오케이엑스)가 15만여명, 비트겟과 바이비트가 약 10만여명 선인 것으로 알려져 있습니다. 또한 국내에선 현물 거래만 가능하기 때문에 디지털자산(가상자산) 선물 거래를 하는 투자자들은 대부분 해외거래소 앱을 이용하고 있습니다.
APK·VPN 검색량 급증
구글의 정책 발표 직후 디지털자산 관련 온라인 커뮤니티 등에서는 해외 거래소 이용을 지속하기 위한 ‘우회 방법’이 빠르게 공유되기 시작했습니다. 대표적인 방식으로는 △VPN을 활용한 해외 접속 △APK 파일을 직접 내려받아 설치하는 방법 등이 다양하게 거론되는 중입니다.
실제 이용자들의 관심 역시 단기간에 급증하는 추세입니다. 네이버 데이터랩 기준으로 ‘APK’ 검색량은 구글의 공지 전날인 13일에 38이었는데, 정책 발표 직후인 14일에는 92, 15일에는 95로 두 배 이상 뛰었습니다. 공식 유통 경로를 벗어난 설치 방식에 대한 관심이 단기간에 폭발적으로 증가한 것인데요. VPN 역시 공식 통계는 없지만, 특정 서비스명이 반복적으로 언급되는 등 우회 접속을 시도하려는 움직임이 뚜렷하게 관측되고 있습니다.
문제는 이러한 우회 방식이 보안 사고로 이어질 가능성이 크다는 것입니다. APK 파일을 통해 직접 앱을 설치한다는 것은 결국 구글이나 애플의 보안 검증 절차를 거치지 않게 된다는 의미인데요. 그 만큼 악성코드가 삽입되거나 파일이 변조될 위험이 상존할 수밖에 없습니다.
이재광 전 한국인터넷진흥원(KISA) 침해사고분석단 팀장은 <디지털애셋>과 통화에서 “앱스토어에서 설치가 막히면 이용자들이 외부 경로를 통해 APK를 내려받는 방식으로 이동하게 되는데, 이 시점을 노려 정상 앱을 사칭한 악성 APK가 대량으로 유통될 가능성이 높다”고 경고했습니다. 그는 또 “블로그나 외부 링크를 통해 받은 APK는 정상적인 앱처럼 보이더라도 악성 코드가 포함돼 있을 수 있다”라며 “공식 마켓을 거치지 않은 앱은 보안 검증을 받지 않기 때문에 계정 정보 탈취나 원격 제어 등 2차 피해로 이어질 위험이 크다”고 강조했습니다.
실제로 디지털자산 투자자들이 이용하는 거래소 관련 APK 파일 상당수는 텔레그램이나 블로그, 서드파티 다운로드 사이트 등을 통해 유통되고 있습니다. 그러나 이들 경로의 신뢰성을 일반 이용자가 판별하기는 쉽지 않은 게 현실입니다. 한 보안업계 관계자는 “악성코드가 심어진 APK를 설치할 경우 지갑 키나 로그인 정보가 탈취돼 자산 손실로 직결될 수 있다”고 지적했습니다.
“VPN 우회 접속도 리스크”
VPN 역시 안전한 대안으로 보기 어렵다는 평가가 많습니다. 개인정보 보호나 해외 접속을 위한 합법적 수단으로 활용될 수는 있지만, 서비스 선택에 따라 접속기록 저장, 정보 유출, 악성 행위 노출 가능성이 존재하기 때문입니다.
구글플레이 로고(사진=구글)
이재광 전 팀장은 “VPN 자체가 불법이거나 본질적으로 위험한 것은 아니다”라면서도 “일부 VPN 서비스는 우회 기능 외에도 앱을 통해 비밀번호를 탈취하거나 특정 사이트 접속을 유도해 악성코드를 감염시키는 사례가 있다”고 경고했습니다. 이어 “거래소 접근 제한으로 VPN 사용자가 늘어나면, 그에 비례해 피해 사례도 증가할 수 있다”고 내다봤습니다.
또 다른 보안업계 관계자도 “공식 마켓을 우회하는 순간부터 이용자는 피싱과 악성코드 위험을 스스로 감수해야 하는 구조가 된다”며 “커뮤니티에서 다양한 우회 방법이 공유되고 있지만, 보안 관점에서는 어느 것도 권장하기 어렵다”고 지적했습니다.
한편 이번 조치의 근본적 배경으로 지목되는 FIU의 가상자산사업자(VASP) 신고 요건과 관련해, 업계에서는 ‘해외거래소가 사실상 국내 기준을 충족하기 어렵다’는 평가가 지배적입니다. 국내에서 VASP로 신고하기 위해서는 △국내 은행과의 실명확인 입출금 계좌 제휴 △정보보호 관리체계(ISMS) 인증 △자금세탁방지(AML) 체계 구축 등 복수의 조건을 충족해야 합니다.
국내 거래소의 한 관계자는 “이 요건을 갖추지 못하면 해외 거래소의 사업자 신고 자체가 성립되기 어렵다”라며 “해외 거래소는 본점이 해외에 있어 현장 실사 등 절차를 진행하기 어렵고, 당국 역시 해외 사업자 인가에 매우 보수적인 입장을 유지하고 있는 상황”이라고 설명했습니다. 그는 이어 “이 때문에 해외 거래소들이 직접 신고보다는 (국내 거래소) 인수나 제휴 같은 간접적인 방식으로 국내 시장 접근을 시도해 온 것”이라고 덧붙였습니다.
구글 “FIU 규제 반영한 정책”
구글은 이번 해외 거래소 앱 제한 조치가 한국 금융당국의 규제 체계를 반영한 정책 집행이라는 입장을 밝혔습니다. 구글 관계자는 이와 관련 “구글플레이 정책은 각 국가의 현지 법규를 준수하는 방식으로 운영되고 있으며, 한국의 경우 FIU 규제 요건을 충족하지 않은 사업자에 대해 동일한 기준이 적용된다”라며 “이런 정책 방향은 구글플레이의 국가별 규제 준수 원칙에 따른 것”이라고 강조했습니다.
향후 이 같은 조치가 완화될 가능성에 대해서도 구글 측은 명확한 입장을 밝히기 어렵다고 선을 긋고 있습니다. 구글 측은 “과거 일부 규제 사례에서 사안별 조정 전례가 있었다는 점은 알고 있다”라면서도 “이번 사안은 현행 규제 체계와 구글플레이 정책 기준에 따라 적용되고 있는 것으로 이해해 달라”고 말했습니다. 결국 한국 정부의 현행 규제가 바뀌지 않는 이상 구글의 정책 변동 가능성도 크지 않다는 취지입니다.
박재연 기자 damgomi@digitalasset.works
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 오승훈 산업1부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지