[서울타임즈뉴스 = 최남주 기자] 몸피모(몸캠피싱피해자모임)’는 최근 정식 앱(애플리케이션)인 ‘Expo Go’를 악용해 피해자의 스마트폰 연락처와 갤러리 데이터를 유출하는 새로운 피싱 방식이 등장했다며 주의를 당부했다.

Expo Go는 React Native 개발자들이 앱을 테스트하는 공식 도구로, 사용자가 앱을 설치한 후 QR 코드를 스캔하면 원격 서버에서 자바스크립트(JS) 코드를 로드해 실행하는 방식으로 작동한다. 이 과정에서 Expo Go는 연락처, 카메라, 갤러리 등 스마트폰 자원에 접근할 수 있는 권한을 요청하며, 사용자가 이를 허용하면 해당 권한이 Expo Go를 통해 실행되는 코드에도 적용된다.

문제는 이러한 기능이 몸캠피싱 가해자들에게 악용될 가능성이 크다는 점이다. 19일 몸피모의 발표에 따르면, 가해자들은 피해자에게 "영상 재생을 위해 Expo Go 앱을 설치해야 한다"거나 "설치 후 QR 코드를 스캔하면 특정 사진을 확인할 수 있다"는 방식으로 속여 Expo Go 앱 설치를 유도한다. 이후 피해자가 Expo Go에서 가해자가 제공한 QR 코드를 스캔하면, 원격에서 악성 JS 코드가 로드되면서 스마트폰 내 연락처 및 갤러리 데이터 접근 권한을 요청하게 된다.

피해자가 별다른 의심없이 권한을 허용하면, 가해자는 Expo Go를 통해 스마트폰의 연락처 목록과 사진·영상 파일을 원격 서버로 전송할 수 있다. 이는 스마트폰 운영체제(OS) 상에서는 정상적인 앱의 권한 요청으로 인식되기 때문에, 별다른 보안 경고 없이 개인정보가 유출될 가능성이 높아 특히 위험성이 크다.

몸피모 관계자는 "Expo Go는 개발자들이 테스트 용도로 사용하는 공식 앱이지만, 원격 코드 실행 환경이라는 특성상 가해자들에게 악용될 위험이 크다"며, "가해자들은 피해자가 자연스럽게 권한을 허용하도록 유도하는 방식으로 접근하고 있다"고 지적했다.

이어 “출처를 알 수 없는 QR 코드는 절대 스캔하지 말고, 신뢰할 수 없는 앱을 설치할 때는 각별한 주의가 필요하다”며, “특히 ‘영상 확인’ 또는 ‘특정 콘텐츠를 보기 위해 QR 코드 스캔이 필요하다’는 요청이 있을 경우, 몸캠피싱 사기일 가능성이 농후함으로 즉시 차단해야 한다”고 당부했다.