“문제점 보완하고 개선하면 도움 되는 측면도 있을 것”

[보안뉴스 김태형] 금융결제원이 지난 4월 23일부터 제공하는 ‘금융앱스토어(m.fineapps.co.kr)’에 대한 논란이 끊이지 않고 있다.

이 금융앱스토어 서비스는 스마트폰 사용 고객이 국내 17개 은행에서 제공하는 뱅킹 앱 등을 한 곳에서 보다 안전하고 편리하게 다운받을 수 있도록 한 것이며 서비스 대상은 안드로이드, 블랙베리, 윈도우 모바일 OS기반의 스마트폰 등이다.
     
      ▲ 국내 은행 뱅킹 앱을 한 곳에 모아 제공하는 금융결제원의 ‘금융앱스토어’ 메인 화면

금융결제원은 이번 금융앱스토어 서비스의 실시로 국내 은행들이 고객에게 제공하는 뱅킹앱의 유통 창구를 ‘금융앱스토어’로 단일화함으로서 최근 구글 Play 등, 기존 마켓에서 뱅킹앱을 대상으로 출현하고 있는 피싱앱(위·변조앱)을 원천적으로 차단할 수 있어 스마트폰 뱅킹 이용고객의 불안감을 크게 해소할 수 있을 것으로 기대하고 있다.

이러한 금융 앱은 출시 당시 모바일 웹사이트(m.fineapps.co.kr)와 PC 웹사이트(fineapps.co.kr)에 접속하거나 SKT의 T스토어·KT의 올레마켓 등 통신사가 제공하는 장터에서 받을 수 있도록 했다.

하지만 시민단체와 보안업계 등에서는 보안 강화를 위한 서비스가 오히려 해킹이나 보안 위협에 더 노출시킨다는 보안문제를 제기하면서 논란이 시작됐다.

문제는 전용 웹사이트에서 금융앱스토어를 다운 받아 스마트폰에 설치할 때 ‘알 수 없는 출처’에 체크하고 이를 허용해야 하는데 이는 확인되지 않은 위험성이 있는 파일 설치에 대한 보호장치를 푼다는 것을 의미하는 것으로 금결원이 이를 강요한다는 것을 문제삼았다. 

즉 ‘알 수 없는 출처’에 체크를 하고 이를 허용하면 악성코드 등이 스마트폰에 설치될 가능성이 높아지기 때문에 금융앱스토어 서비스가 오히려 보안위협에 노출될 수 있다는 것. 또한, 국내 은행들의 앱을 한곳에 모아 놓았기 때문에 금융앱스토어를 해킹하면 가짜 앱이나 악의적인 프로그램을 더욱 쉽게 금융앱스토어를 통해 유포시킬 수 있다는 주장이다.

이러한 문제에 대해서 오픈넷과 경실련 소비자정의센터 등은 금융앱스토어가 모바일 금융 거래를 위한 앱 프로그램을 한 곳에 모아 놓아 피싱에 더 취약할 뿐만 아니라 종전 피싱을 하려면 금융기관별로 피싱 사이트가 필요했지만, 이제는 통합 스토어만 속이면 한번에 모든 금융기관의 이용자들을 피싱할 수 있게 되었다고 지적했다.

또한, 모바일 설정에서 ‘알 수 없는 소스에서 앱 설치 허용’으로 변경하도록 강요해 이용자를 해킹 위험으로 내몰고 있다고 덧붙였다.

이러한 논란에 금융결제원은 지난 2일 금융앱스토어 앱은 이동통신사의 공식 앱마켓인 T스토어·올레마켓·LG유플러스 스토어에서만 다운로드 가능하도록 변경했다. 하지만 대부분의 사용자들은 통신사 마켓 설치를 원하지 않고 외산 폰은 마켓 설치도 쉽지 않다.

아울러 금융앱스토어를 위장한 가짜 스토어를 만들어 피싱 앱을 유포할 수도 있기에 공격자들은 블랙마켓을 이용해 악성코드가 삽입된 악성 앱을 유포해 수 많은 피해자를 유발할 수 있다.

이에 대해 금융결제원측은 사전 지정된 금융기관과 기관의 개발자만 앱스토어 내에 등록이 가능하기 때문에 피싱 앱은 스토어에 들어올 수 없어 안전하다고 설명했다. 또한, 해커 등의 공격자들의 침입을 철저히 차단할 수 있도록 집중관리하고 있어 기존 마켓보다 더욱 안전하다고 강조했다.

이에 대해 한 보안전문가는 “이번 금융스토어앱 문제는 양날의 칼이라고 할 수 있다. 어떤 측면에서 보면 보안 강화도 될 수 있고 또 다른 측면에서 보면 보안이 약화될 수도 있어 논란이 되고 있다고 생각한다”고 말했다.

이어서 그는 “금융당국에서는 피싱이나 스미싱 피해가 증가하고 있는 가운데 이러한 보안대책도 없이 가만히 있을 수 없는 입장이고 구글 마켓의 악성 앱 출현에 대해서도 보안 관리를 강화하려는 의도였을 것”이라면서 “이러한 정책을 만들고 추진하다 보니까 여러 가지 논란은 있을 수 밖에 없고 정책을 만들기 전에 여러 분야의 의견을 수렴했다고 해도 상충된 의견이 분명히 있을 것”이라고 덧붙였다. 

그동안 사용자들은 구글 마켓이나 통신사 마켓 등에서 정상 앱을 다운받아 활용해 왔다. 하지만 구글 마켓에서는 악성 앱이나 불법 앱에 대한 필터링이 완벽하지 못했기 때문에 앱을 보호하는 보안 차원에서 금융당국은 별도의 검증을 통해 이를 보완하려 했으나 오히려 난관에 부딪히게 된 셈이다. 

이처럼 금융앱스토어에 대한 논란의 본질적인 문제는 보안이다. 금융정보의 보호를 위해서는 공격자에게 빌미를 제공해선 안될 것이다. 그리고 사용자나 운영환경 등을 고려하지 않고 단지 공공기관의 업무 편의성을 위해 만든 정책을 밀어붙이기식으로 추진한 것도 이번 논란을 일으킨 원인이라고 할 수 있다.

하지만 피싱과 스미싱 등 금융정보를 이용한 피해가 증가함에 따라 아무 대책 없이 당하는 것보다는 이러한 대책을 활용해 부족한 것을 조금씩 보완하고 개선해 나가는 일이 필요할 것으로 보인다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>