[AI 다이브⑫] 챗GPT인 줄 알았는데⋯ 가짜 AI에 개인정보 털렸다

이름만 바꾼 가짜 챗GPT·제미나이 앱 기승
금전 피해 넘어 개인정보까지 탈취 우려
보안업계 “공식 앱만 다운로드해야 안전”

해킹으로 인한 개인정보 유출이 잇따르는 가운데 유명 인공지능(AI) 애플리케이션(앱)을 사칭한 악성 앱이 기승을 부리며 주의가 요구된다.

14일 애플 앱스토어와 구글 스토어에서 오픈AI의 ‘챗GPT(ChatGPT)’ 앱을 검색하면 ‘ChatGPT 한국어’, ‘ChatGTP : 한국어 AI 챗봇’, ‘ChatGenius- 챗GPT’, ‘GhatGDP 5: 궁극 인공지능 어시스턴트’ 등 수많은 사칭 앱이 등장한다. 챗GPT뿐 아니라 구글 ‘제미나이(Gemini)’, 메타 ‘메타AI(MetaAI)’를 모방한 사례도 적지 않다.

이처럼 교묘히 이름을 바꾼 앱들로 인해 이용자 혼란이 커지고 있다. 한 이용자는 “앱 이름이 오픈AI의 챗GPT와 같아 혼동했고, 결국 평생 이용권을 결제했지만 환불이 되지 않았다”고 호소했다. 실제로 사칭 앱 개발사 측은 “앱 내부에 3일 무료 체험 후 자동 과금된다고 명시돼 있다”며 환불을 거부하는 사례가 잇따르고 있다.

▲14일 애플 앱스토어에 챗GPT(ChatGPT)를 검색하면 이를 사칭한 비슷한 이름의 앱들이 검색된다. (사진=앱스토어 화면 캡쳐)

문제는 금전적 피해에 그치지 않는다는 점이다. 일부 사칭 AI 앱은 개인정보를 탈취하는 멀웨어(악성 소프트웨어) 유포 수단으로 악용되고 있다. 멀웨어는 데이터 파괴, 무단 접근, 정보 탈취를 목적으로 설계된 소프트웨어다. 바이러스·랜섬웨어·트로이목마 등이 대표적이다. 이용자가 이를 설치하면 전화번호, 주민번호 등 민감한 개인정보가 고스란히 빠져나갈 수 있다.

실제로 지난 2월 중국 스타트업 딥시크가 ‘저비용 고성능’ 생성형 AI 모델을 내놓자 이를 사칭한 악성 앱이 등장해 피해를 야기했다. 해당 앱은 다운로드 즉시 역방향 전송 제어 프로토콜(TCP) 페이로드를 실행해 기기 연락처·SMS·통화기록 등을 빼내는 방식이었다. 이처럼 대중적 관심이 몰리는 시점을 노려 악성 앱이 빠르게 제작·유포되는 패턴은 반복되고 있다. 전문가들은 “악성 앱 제작자는 신제품 발표 시점이나 사회적 화제에 편승해 사용자 경계심이 낮아진 틈을 노린다”며 “피해자가 특정 시기에 집중 발생하는 이유”라고 설명했다.

글로벌 보안기업 카스퍼스키에 따르면 올해 1~4월 챗GPT를 사칭한 악성 파일은 177개로, 전년 대비 115% 늘었다. 같은 기간 딥시크를 사칭한 악성 파일도 83건에 달했다. 안드로이드 기기 대상 멀웨어 공격은 1218만건으로 전 분기보다 36% 증가했고, 악성 앱 샘플은 18만405건으로 27% 늘었다. 보안업계는 “공식 앱스토어 내 앱이라고 해서 모두 안전하다고 믿어서는 안 된다”며 “리뷰·개발사 정보·다운로드 횟수 등을 꼼꼼히 확인해야 한다”고 경고한다.

보안업계 관계자는 “사칭 앱은 오픈AI, 구글, 딥시크 등의 공식 API를 사용했는지조차 불분명하다”며 “개인정보 유출 위험뿐 아니라 데이터가 어디에 활용되는지 알 수 없어 더욱 위험하다. 반드시 공식 앱스토어에서 정식 앱만 내려받아야 한다”고 당부했다.