코로나19 대유행병부터 암호화폐 광풍까지 주요 트렌드나 전 세계적인 사건 무엇이든 순식간에 디지털 피싱 공격이나 다른 온라인 사기에 동원되었다. 지난 몇 달간 대규모 언어 모델과 생성형 인공지능(AI)의 열풍도 마찬가지로 디지털 피싱 및 스캠에 동원되는 일이 발생했다. 이에, 사이버 보안 기업 소포스(Sophos)는 최근 구글 플레이와 애플 앱스토어에서 사기 앱이 무료 시험판을 통해 오픈AI의 챗봇 서비스인 챗GPT 접근 권한을 제공하는 척하면서 결국에는 구독료를 청구하기 시작한 앱이 유포된 사례를 제시하며 경고했다.
오픈AI의 GPT와 챗GPT는 일반 사용자와 개발자에게 유료 버전 서비스를 제공하지만, 누구나 오픈AI 웹사이트에서 무료 서비스도 사용할 수 있다. 스캠 앱은 텍스트 생성 AI 기술에 대해 들어본 적이 있는 이들과 AI 챗봇을 이용하고자 하는 이들 사이에서 발생한 열풍을 이용하지만, 사용법과 관련한 추가 맥락은 제공하지 않는다. 소포스 연구팀은 뉴스 앱 광고와 SNS를 본 뒤 스캠 앱의 존재를 파악했으나 챗GPT 접근 권한 제공을 내세운 스캠 앱 사용자는 구글 플레이와 앱스토어 검색 과정을 통해 스캠 앱을 우연히 접했을 가능성이 있다.
소포스 수석 위협 연구원 션 갤러거(Sean Gallagher)는 “광고 비용이 저렴한 SNS 플랫폼에서 챗GPT 접근 권한을 홍보하는 스캠 앱 광고를 여러 개 발견했다. 간혹 앱 이름에 ‘Chat GBT’와 같이 챗GPT 서비스 이름 입력을 의도적으로 실수하여 기술 사용에 능숙한 사용자의 눈을 피하려 한 사례도 발견했다. 스캠 앱은 무료 시험판을 사용한 뒤 서비스 품질이 낮아 사용을 취소하고자 하는 사용자를 피했다. 구독 서비스 해지 방법을 충분히 숙지하지 못한 이들을 겨냥했다”라고 설명했다.
[사진=Freepik]
이와 같은 유형의 스캠은 ‘플리스웨어(fleeceware)’라고 칭한다. 피해자가 주 혹은 월 단위 정기 구독 서비스를 결제하도록 유혹하는 스캠 앱은 퇴치가 어렵다. 분명한 멀웨어 실행 정보를 제공할 침략 및 악성 행동을 기술적으로 드러내지 않기 때문이다. 연구팀은 스캐머가 애플과 구글에 앱 검토 신청을 제출했을 때, 구독료 상세 정보와 사용자가 서비스를 계속 사용하기 위해 비용을 부담해야 하는 시점을 상세히 설명하지 않은 점에 주목했다. 이후 앱 설계 방식을 전혀 바꾸지 않고 사용자에게 요구하는 사항을 변경할 수 있다.
구글과 애플은 개발자에게 1회 비용 결제와 반복 금액 청구 방식으로 앱 내 구매 방식을 지원한다. 또한, 구글과 애플은 자사 앱스토어 내 앱이 사용자에게서 수집하는 비용의 일정 비율을 수수료로 받는다.
안드로이드 앱인 Open Chat GBT는 사용자가 무료로 앱을 내려받은 뒤 다량의 광고를 보여주며, 서비스 기능 접근 권한을 잃기 전까지 단 3회 챗봇 서비스를 제공하고, 구독 서비스 가입을 유도한다. 기본적으로 사용자는 3일 무료 시험판에 가입하면서 앱을 계속 사용할 수 있다. 무료 시험판 사용 기간이 지나면, 월 구독료 10달러를 청구한다. Open Chat GBT는 연간 구독료 30달러를 청구하기도 한다. 소포스 연구팀은 앱스토어에서 같은 개발자가 개발한 비슷한 이름의 다른 iOS 앱도 발견했다.
소포스 연구팀은 애플과 구글 모두 직접 발견한 가짜 AI 챗봇 앱 몇 가지를 공개 전 제거한 사실을 확인했다. 그러나 연구팀이 구글과 애플에 가짜 앱 유포를 경고한 뒤에도 스캠 앱에 누구나 접근할 수 있는 것으로 드러났다. 애플과 구글 모두 스캠 앱 배포 승인 요청을 받은 사실을 인정했다. 구글은 애플보다 스캠 앱 한 개를 더 제거하였다. 구글과 애플 모두 와이어드의 스캠 앱 발견 관련 문의에 즉시 답변하지 않았다.
연구팀은 일부 스캠 앱이 오픈AI의 챗GPT 3 애플리케이션 프로그래밍 인터페이스를 이용해 사용자에게 제공할 콘텐츠를 생성하지만, 저급한 챗봇 기능을 제공하는 스캠 앱도 존재한다는 사실을 확인했다. 게다가 일부 앱은 사용자의 질문 횟수를 제한하는 대신 구독 서비스 사용을 시작하기 전까지 짧은 답변만 생성하고는 사용자에게 스니펫만 제공한다는 사실도 발견됐다.
갤러거는 플리스웨어의 가장 큰 문제 중 하나는 사용자가 항상 구독 서비스 관리법을 아는 것이 아니라는 점과 앱을 삭제하더라도 서비스를 계속 실행하는 결제가 반복된다는 사실을 인지하지 못한다는 점을 지적했다.
갤러거는 “플리스웨어의 정의를 다른 곳에서 무료나 저렴한 비용에 사용할 수 있는 서비스를 제공하면서 비정상적으로 비싼 가격 결제를 유도하는 수법으로 정했다. 플리스웨어 수법은 간혹 매달 애플에 결제하는 비용이 비싼 이유를 두고 의문을 품더라도 결국 서비스에 가입한다는 점에서 효과가 있는 것으로 확인됐다. 그리고 많은 사용자가 가족 저장소, 스마트폰 애플케어 서비스 가입, 듀오링고 서비스 등을 공유한다는 점에 비싼 비용에 동의한다. 앱 구독 서비스 가입 시 매우 신중하게 판단해야 한다. 앱의 구독 서비스를 적극 관리해야 한다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202305/4776_6253_475.jpg)
뉴스레터 신청