은행이 스마트폰 앱을 웹사이트에서 스스로 배포하는 것이 더 문제무조건 차단하기보다 주고 받는 정보의 암호화에 더욱 신경써야


[보안뉴스 오병민] 최근 금융권에서는 탈옥이나 루팅된(이하 탈옥) 스마트폰의 인터넷뱅킹 거래에 대한 부정적인 인식이 확산됨에 따라 금융위원회는 모바일뱅킹 위·변조 애플리케이션(앱)을 통해 모바일 뱅킹에 접속하는 사례를 직접적으로 막겠다는 움직임을 보이고 있다.

이와 더불어 금융결제원은 탈옥한 스마트폰에서 모바일뱅킹을 이용하게 해주는 앱(애플리케이션)들에 대해 저작권 법 위반으로 경고문을 발송했다. 모바일뱅킹 앱을 임의적으로 수정해 저작권을 침해했다는 이유에서다.

루팅? 탈옥? 루팅과 탈옥은 제조사가 범용화를 목적으로 제한해 놓은 스마트폰의 기능을 활성화하기 위해 사용자가 OS의 최고 권한을 획득하는 것을 의미한다. 루팅이나 탈옥은 모든 권한을 획득해 스마트폰을 자유자재로 이용할 수 있지만 획득한 권한이 해킹 공격자에게 악용되면 위험할 수 있다.


그러나 탈옥폰에서도 보안조치만 제대로 된다면 안전할 수 있다는 주장과 더불어 루팅된 스마트폰의 인터넷뱅킹 접속을 무조건 막는 것은 탈옥폰 사용자의 인터넷뱅킹 이용 권리를 침해할 수 있다는 비판도 나타나고 있다.

이에 보안뉴스는 최근 금융결제원의 경고문을 받은 이후 배포를 중지한 k뱅크트윅(kBankTweak) 앱 개발자(익명)와의 인터뷰를 통해 탈옥폰 뱅킹 제한조치에 대한 의견을 들어봤다.

k뱅크트윅은 어떤 애플리케이션인가요?
k뱅크트윅은 트윅입니다. 트윅이란 조작화면 같은 것을 가지고 있지 않고, 시스템이나 특정 부분에 한정해 좀더 사용하기 편한 환경을 만들어주는 프로그램을 말합니다. 결국 k뱅크트윅은 스마트폰 뱅킹앱의 탈옥여부를 검사하는 기능을 차단해 탈옥폰에서도 모바일 뱅킹을 이용할 수 있도록 한 앱입니다.

거기에 SSH가 실행중이거나 22번 포트가 열려있다면 경고를 하도록 해 놓았습니다(탈옥된 상태에서 루트계정에 접속하려면 22번 포트를 열어 SSH에 접속해야 한다). 그렇게 만든 이유는 탈옥폰에서도 안전하게 사용할 수 있다는 것을 보여주기 위함입니다.

k뱅크트윅을 배포한 이유는?
탈옥폰에서 뱅킹하는 것은 사용자의 당연한 권리입니다. 따라서 개발자가 아닌 사람들이 뱅킹앱을 사용할 수 있도록 하는 목적에서 배포했습니다. 물론 지인들에게 일일이 건네주기도 귀찮아서 배포한 것도 이유라면 이유였습니다.

이용자는 얼마나 되나요?
제가 공개한지 4개월 정도 됐는데 누적 다운로드 수가 20만에 달합니다. 지원하는 금융앱만 40가지이구요. 그러나 이제까지 금융사고가 났다는 이야기는 한 번도 들어본 적 없습니다. 그리고 카드앱이나 증권앱은 제작하거나 배포하지 않았습니다. 은행앱은 필수앱이라 블로그에 공개했지만, 기타 앱들은 선택적이니까요. 그리고 만들어달라고 요청해오는 사람들에게는 오히려 앱제작사에 요구하라고 했습니다. 그럼에도 불구하고 탈옥폰에서 돌아가는 카드앱이나 증권앱들이 은행앱들 보다 많습니다.

이용자들이 왜 탈옥이나 루팅을 할까요?
탈옥은 불법적인 사용의 차원으로 접근할 것이 아니라 자동차를 튜닝하듯이, 그리고 집의 정원을 꾸미고 커텐을 바꾸듯이, 탈옥의 선택은 자신의 소유물에 대한 정당한 사용 권리라고 생각합니다. 부차적으로 생기는 문제는 소유자의 책임이지요. 타이어를 바꿨다가 펑크 났다고 해서 자동차 회사에 따지지 않는 것처럼 말입니다.

사실 모바일뱅킹의 위험도는 PC의 인터넷뱅킹과 마찬가지라고 볼 수 있습니다. 현재 우리나라 당국과 금융권은 윈도우가 설치된 PC에서도 사용하기 힘들게 인터넷뱅킹 시스템을 만들어놓고 안전하다고 강조합니다.

스마트폰은 사실 손안에 PC와 같다고 볼 수 있는데 제조사의 의도에 따라 전화기 기능 위주로 제한시켜 놓은 것이 현재 스마트폰이라고 이야기한다. 사람들이 탈옥을 하는 이유는 기능을 제한해 놓은 반쪽짜리 손안의 PC를 온전하게 이용하기 위해서라는 것이다.

최근 금융결제원이 저작권 침해에 대한 경고문을 전달했다던데...
당국이 하는 얘기의 요지는 이렇습니다. 어떤 방식이 됐든 제조사가 만든 대로(탈옥폰에서 사용하지 못하도록) 하는 것을 막는 행위이니 저작권 법에 저촉된다는 것입니다.

k뱅크트윅은 은행에서 배포하는 앱을 변조하지 않으며 독자적으로 설치됩니다. 따라서 저작권위반은 아닙니다.

그러나 제가 법률 전문가도 아니고, 일일이 대응할 여유가 없어 배포를 중지했습니다. 일단 잡고보자는 것이니까요.

그렇다고 해서 다들 말도 안 되는 법을 곱게 따라주지는 않을 것입니다. 저 이전에도 탈옥폰에서 뱅킹이 가능하도록 해주는 방법을 제공해준 개발자들이 있었고, 저 이후에도 있을 것입니다. 해외에서도 다양하게 논의가 이루어지고 있습니다.

탈옥폰 강제 제한조치에 대한 의견이 있다면?
당국과 은행권이 스마트폰 앱을 스스로 배포하는 것부터가 문제입니다. 아이폰은 앱의 설치가 앱스토어에 한정되어 있으나, 안드로이드는 마켓이 아닌 곳에서도 다운받아 설치가 가능합니다.

그런데 은행이 정식 마켓이 아닌 자신의 홈페이지에서 앱을 배포하니, 일반인들은 아무데서나 받아도 상관없다고 생각하는 것이고, 변조된 프로그램들이 돌아다니는데 오히려 도움을 주고 있습니다.

우선되어야 할 것은 사용자들에게 정상적인 사용법을 충분히 알려주고, 안전하고 정상적으로 사용할 수 있도록 정해진 경로로만 설치를 하도록 해야 할 것입니다.

또한, 탈옥폰에서도 경고문구만 띄우고 잘 돌아가는 앱들도 많습니다. 앱제작자들이 해야 하는 것은 터치하는 정보의 탈취를 걱정할 것이 아니라 주고받는 정보의 암호화에 더 신경을 써야 합니다.

k뱅크트윅을 만들면서 금융권 앱을 살펴보니까 정보관리를 제대로 하지 않는 경우를 많이 보았습니다. 순정 스마트폰에서 해킹사고가 나지 말라는 법이 있을까요? 무얼 우선시해야 하는지 전혀 감도 못 잡고 있다는 말이 되겠지요.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>