“셀카 한 장 찍었을 뿐인데…”
가짜 뷰티 앱으로 얼굴 이미지·개인정보가 유출된 이야기
“피부 분석하려고 사진 한 장 찍었을 뿐인데요. 그 이후부터 이상한 문자가 오기 시작했어요.”
한 뷰티 앱 사용자에게서 시작된 이야기입니다.
최근 뷰티 앱에서는 피부 톤 분석, 모공 진단, 메이크업 추천처럼 카메라를 활용한 기능이 너무나 자연스러워졌죠.
그래서 이 사용자는 아무 의심 없이 앱을 설치하고, 아무 망설임 없이 셀카를 촬영했습니다.
앱 화면은 익숙했고 기능도 정상적으로 동작했습니다.
문제는 단 하나였습니다.
이 앱은 ‘진짜’가 아니었습니다.
“정상 앱처럼 보이는데, 뭐가 문제였을까?”
조사 결과, 이 앱은 공식 앱스토어에서 배포된 앱이 아니라 정상 뷰티 앱을 그대로 리패키징한 가짜 앱이었습니다.
아이콘도 같았고, UI도 같았고, 피부 분석 흐름도 동일했습니다.
하지만 내부에서는 완전히 다른 일이 벌어지고 있었습니다.
실제로 발생한 문제
가짜 뷰티 앱은 다음과 같은 방식으로 동작했습니다.
• 정상 뷰티 앱을 리패키징해 유포
• 얼굴 촬영 화면과 프로필 입력 화면을 그대로 복제
• 사용자가 촬영한 얼굴 이미지와 개인정보를 → 정상 기능 처리와 동시에 외부 서버로 전송
사용자 입장에서는 “카메라 권한을 허용했을 뿐”이었지만,실제로는 얼굴 이미지와 개인정보가 함께 유출되고 있었습니다.
특히 얼굴 데이터는
• 단순 사진이 아니라
• 생체 정보로 활용될 수 있는 고위험 개인정보
라는 점에서 피해는 더 컸습니다.
어디에서 보안이 무너졌을까?
문제의 핵심은 명확했습니다.
• 앱이 공식 배포 앱인지 검증되지 않았고
• 얼굴 촬영 화면이 진짜 화면인지 확인할 방법이 없었습니다
즉, “앱을 믿은 순간, 모든 권한을 넘겨준 것” 이 가장 큰 보안 취약점이었습니다.
사용자는 조심했지만, 기술적으로 구분할 수 있는 장치가 없었던 것이죠.
어떻게 방어했는가?
LIAPP – 위조 앱(리패키징 앱) 탐지
이 문제를 해결하기 위해 가장 먼저 적용된 것은 LIAPP이었습니다.
LIAPP은 앱 실행 시점에
• 앱 서명
• 코드 구조
• 리소스 무결성
을 검사해 공식 배포 앱과 다른 앱을 식별합니다.
이를 통해
• 리패키징된 가짜 앱 실행 차단
• 가짜 얼굴 촬영 UI 무력화
• 위조 앱 환경에서의 접근 자체 차단
이 가능해졌습니다.
사용자는 더 이상 가짜 앱에서 셀카를 찍을 수 없게 되었습니다.
LIKEY – 개인정보 입력 보호
얼굴 이미지뿐 아니라 이름, 연락처, 프로필 정보 역시 보호 대상이었습니다.
LIKEY는
• 프로필 정보 입력 구간에 보안 키패드를 제공해
• 키로거 기반 입력 탈취를 무력화했습니다.
정상 앱 환경에서도 입력 정보가 외부로 새어나가지 않도록 보호한 것이죠.
그 이후, 무엇이 달라졌을까?
보안 조치 이후 변화는 분명했습니다.
• 가짜 뷰티 앱 접속 시도 즉시 차단
• 얼굴 이미지·개인정보 유출 사고 중단
• 사용자 불안 해소
• 브랜드 신뢰도 회복
무엇보다 중요한 변화는 이것이었습니다.
“사용자가 조심해야 한다”는 접근에서 “앱이 사용자를 지켜야 한다”는 인식으로의 전환
이 사례가 주는 교훈
뷰티 앱에서 얼굴 데이터는 단순한 기능 요소가 아닙니다.
얼굴 데이터는 ‘사진’이 아니라 ‘개인정보’입니다.
그래서 다음이 중요합니다.
• 앱이 진짜인지 먼저 검증할 것
• 촬영 화면이 위조되지 않았는지 확인할 것
• 입력 정보는 끝까지 보호할 것
아무리 좋은 기능이라도 신뢰가 없다면 사용할 수 없습니다.
뷰티 앱 보안의 출발점은 기능보다 ‘진위 확인’입니다.
#뷰티앱보안 #가짜앱주의 #위조앱 #개인정보유출 #얼굴정보보호 #프라이버시보안 #모바일보안 #앱위변조 #리패키징앱 #셀카보안 #카메라권한 #모바일앱보안 #보안사례 #IT보안이야기 #보안트렌드 #LIAPP #LISS #LIKEY
