SK텔레콤이 운영하는 애플리케이션 마켓 '원스토어'의 보안 실태가 다시 주목받고 있다. 최근 유심(USIM) 정보 유출로 불거진 SK텔레콤 해킹 사건 이후, 그룹 전반의 보안 시스템에 대한 신뢰가 흔들리면서 원스토어 역시 안전지대가 아니라는 우려가 커지고 있다.

원스토어는 SK텔레콤의 자회사인 SK스퀘어가 최대주주로 있는 앱 마켓이다. SK텔레콤 해킹 사건으로 촉발된 보안 불신은 자연스럽게 그 지분 구조를 공유하는 원스토어에도 영향을 미치고 있다.

원스토어는 국내 스마트폰 사용자에게 기본 설치되는 경우가 많고, 통신 요금 조회나 멤버십 앱과도 연동돼 있어 접근성이 높다. 그러나 이러한 확장성에 비해 보안 검증 체계나 사고 대응에 대한 정보는 상대적으로 투명하게 공유되지 않고 있다.

2023년에는 서드파티 광고 라이브러리를 통해 감염된 'Goldoson' 악성 코드가 원스토어에 등록된 다수 앱에 포함돼 수백만 건 다운로드된 사례가 있었다. 해당 악성 앱은 사용자 위치정보, 설치 앱 목록 등을 수집하고 백그라운드에서 광고를 무단 클릭하는 기능을 포함하고 있었다. 이는 국내외 앱 마켓을 가리지 않고 나타난 보안 위협이지만, 당시 원스토어의 대응이 구체적으로 공개되지 않아 불신을 자초했다는 지적도 있다.

원스토어는 자동화된 악성코드 스캔과 수동 심사를 병행하는 이중 심사 체계를 운영하고 있으며, AI 기반 악성 코드 탐지 시스템도 도입했다. 그러나 앱 등록이 이루어진 후에도 업데이트나 서드파티 코드로 인해 악성 요소가 유입될 가능성을 완전히 차단하기 어렵다는 한계는 여전히 존재한다. 또, 앱 등록과 관련한 일부 보안 검증은 외부 업체에 위탁되는 것으로 알려졌으나 구체적인 심사 기준이나 검증 방식은 공개되지 않았다.

문제는 이러한 앱을 통해 피해가 발생했을 경우 책임의 소재가 불명확하다는 점이다. 원스토어는 약관상 앱 콘텐츠에 대한 책임을 개발자에게 명시하고 있지만, 사용자 입장에서는 통신사 브랜드를 신뢰하고 앱을 설치하는 경우가 많다. 특히 공식 마켓을 통해 설치된 앱에서 개인정보 유출, 금전 피해 등이 발생할 경우, 개발자와 사용자 간 실질적인 법적 분쟁 구조가 제대로 작동하지 않거나, 개발자가 해외 소재 또는 폐업 상태인 경우 피해 보상이 사실상 불가능한 사례가 빈번하다. 이 때문에 플랫폼 운영자인 원스토어 역시 일정 부분 피해 책임을 공유해야 한다는 지적이 나온다.

현재 원스토어는 정보보호 관리체계(ISMS-P) 인증을 획득한 상태며, 시큐리온 등의 보안 솔루션을 도입해 자동 분석 시스템을 강화해왔다고 밝히고 있다. 앱 등록 심사 평균 소요 시간은 약 2~3일이며, 유해 앱 상시 모니터링과 이용자 신고 시스템도 운영하고 있다. 다만 보안 사고 발생 시 이용자 대상 경고 조치나 후속 설명이 구글, 애플 등 글로벌 플랫폼에 비해 부족하다는 지적은 여전히 남아 있다.

최근 SK텔레콤이 유럽 시장 진출과 원스토어 상장을 다시 추진하는 가운데, 앱 마켓 보안은 단순한 기술 문제가 아니라 브랜드 신뢰의 핵심 요소로 작용하고 있다. 보안에 대한 투명한 커뮤니케이션과 위협에 대한 민첩한 대응 체계가 뒷받침되지 않는다면, 국내 앱 생태계 전체의 신뢰 기반이 흔들릴 수 있다.

공식 마켓이라는 이유로 '설마' 하는 마음에 앱을 설치하는 시대는 끝났다. 원스토어가 통신사 앱이라는 이름에 걸맞은 보안 책임을 다하고 있는지, 지금이야말로 되짚어봐야 할 때다.