러시아 정부가 지원하는 국민 메신저 애플리케이션 'MAX'가 가상사설망(VPN) 사용자 활동을 감시할 수 있는 스파이웨어 기능을 탑재했다는 주장이 제기돼 논란이 일고 있다.
12일(현지시간) IT 전문매체 테크레이더에 따르면 러시아 보안 포럼 '하브르'의 한 사용자는 MAX가 '국가 스파이웨어 도구'로 기능하는 스파이 모듈을 포함하고 있다고 폭로했다. 러시아 디지털 권리 단체 'RKS 글로벌'은 해당 앱의 최신 버전을 독자적으로 분석한 결과 이 같은 내용을 '완전히 확인했다'고 밝혔다.
RKS 글로벌은 테크레이더에 "MAX는 사용자가 VPN을 사용하는지 확인하고 VPN 서버의 IP 주소, 사용자 인터넷 서비스 제공자(ISP)를 식별할 수 있다"며 "사용자가 어떤 차단 조치를 우회하는지도 감지한다"고 설명했다. 분석에 따르면 사용자가 앱을 열 때마다 'HOST_REACHABILITY'라는 숨겨진 모듈이 네트워크 환경 정보를 수집해 러시아에 있는 VK 서버로 전송한다.
MAX는 러시아 최대 이메일 서비스 '메일루'와 소셜미디어 '브콘탁테'를 운영하는 VK가 개발했으며, 러시아 정부 서비스와 연동된다. 이 앱은 2025년 3월 출시됐으며, 같은 해 9월부터 러시아에서 판매되는 모든 신규 스마트폰과 태블릿에 의무적으로 사전 설치되고 있다. 러시아 법에 따라 VK는 수집된 정보를 저장하고 법 집행기관의 요청이 있을 시 공유해야 한다.
MAX 측은 이러한 추적 의혹을 즉각 부인했다. 회사 관계자는 "사용된 기술 솔루션은 통화 및 알림과 같은 고품질 서비스 운영을 보장하기 위한 것"이라며 "개인 데이터나 VPN을 포함한 다른 서비스 사용과는 아무런 관련이 없다"고 반박했다.
러시아 VPN 제공업체 '페이퍼 VPN'은 더 신중한 입장을 보였다. 이 업체는 엑스(X·옛 트위터) 게시물을 통해 MAX가 해외 서버에 접속하는 것은 맞지만 "차단 우회 분석을 위해 데이터를 수집한다는 구체적인 징후는 없다"고 지적했다. 다만 "MAX는 안전하고 기밀이 보장되는 메신저가 아니다"라며 앱의 개인정보 보호 위험성에 대해서는 동의했다.
RKS 글로벌은 이 같은 추적 기능이 러시아 내 VPN 사용자의 익명성을 해제할 수 있는 심각한 위험을 초래한다고 경고했다. 러시아에서는 VPN 사용 자체가 불법은 아니지만, 2025년 7월 통과된 법안에 따라 금지된 콘텐츠에 접근하기 위해 VPN을 사용하는 것은 법적 가중 처벌 요인이 된다.
보안 전문가들은 VPN을 사용하는 기기에서 MAX 앱을 완전히 삭제할 것을 촉구했다. 앱 삭제가 어렵다면 기기가 아닌 공유기(라우터) 단계에서 VPN을 설정하거나, 앱을 열기 전 항상 VPN을 비활성화해야 한다고 조언했다. RKS 글로벌은 "소프트웨어를 제거하는 것이 유일하게 신뢰할 수 있는 완화 조치"라며 VK가 개발한 다른 앱에도 유사한 추적 기능이 포함될 수 있다고 경고했다.