임의로 위변조된 모바일뱅킹 애플리케이션(앱응용프로그램)이 인터넷에 퍼져 실제 거래에 빈번하게 쓰이는 것으로 확인됐다. 전문가들은 위변조된 앱이 사용자 몰래 개인정보를 빼내거나 제3자에게 돈을 이체시키는 피싱(phishing) 도구로 악용될 수 있다고 경고하고 있다. 하지만 대다수 금융회사들은 뾰족한 대책을 마련하지 못하고 있는 실정이다.
19일 동아일보가 확인한 농협중앙회의 스마트폰 금융 앱 접속 현황에 따르면 위변조 앱을 통한 뱅킹 시스템 접속 시도가 최근 하루 평균 700여 건에 달했다. 농협중앙회 관계자는 위변조된 앱의 접근을 막기 위해 올해 초부터 접속 시도 현황을 집계했더니 초기에 600여 건이던 하루 평균 접속 시도 횟수가 이달 들어 700여 건으로 늘었다며 최근 자체 시스템을 구축해 위변조 앱을 통한 접속을 완전히 차단하고 있다고 말했다.
다른 시중은행도 농협과 비슷한 수의 접근 시도가 있을 것으로 추정된다. 하지만 이들 가운데 대다수는 접속 차단은커녕 접속 현황조차 파악하지 못하고 있는 것으로 알려졌다.
일부 사용자들이 금융거래에 위변조 앱을 사용하는 이유는 이른바 탈옥(루팅)폰을 쓰기 때문이다. 탈옥폰은 속도를 높이거나 유료 앱을 무료로 받기 위해 개조한 스마트폰이다. 시중은행들은 보안 문제를 들어 탈옥폰으로 금융거래를 못 하게 막고 있다.
지난해 말 한국저작권위원회의 설문조사 결과에 따르면 스마트폰 사용자 10명 중 1명이 탈옥 경험이 있는 것으로 나타났다. 스마트폰 업계는 실제로는 이보다 훨씬 더 많은 수가 탈옥폰을 사용하고 있는 것으로 추정하고 있다.
인터넷 포털에선 손쉽게 위변조된 금융 앱을 찾을 수 있다. 포털 검색 창에 폰으로 은행 앱 쓰기 스마트뱅킹 등을 치면 위변조된 파일과 사용 방법이 수십 건 올라온다. 이런 앱을 이용하면 은행이 막아놓은 보안 장벽을 우회해 뱅킹시스템에 접속할 수 있다. 사용자가 직접 앱을 위변조하지 않아도 다른 사람이 미리 만들어놓은 앱을 설치하면 금융거래를 할 수 있는 것이다.
문제는 이런 위변조 앱에 다른 의도를 넣은 명령어가 들어 있을 경우 심각한 금융 사고가 일어날 수 있다는 점이다. 아직까지 보고된 사례는 없지만 엉뚱한 계좌로 돈을 이체하거나 이체 한도를 바꿀 수 있다. 또 주민등록번호나 계좌번호, 비밀번호 등 개인정보를 수집하거나 특정한 명령에 따르는 좀비폰으로 만드는 것도 가능하다.
이런 위험 때문에 금융당국은 지난해 10월 전자금융감독규정을 개정해 금융회사들이 4월 10일까지 위변조 앱에 대한 대책을 마련하게 규정했다. 지난해 말 현재 스마트폰을 통한 모바일뱅킹 사용자가 1000만 명을 넘어설 정도로 늘고 있기 때문이다. 하지만 대다수 은행들은 아직 별다른 대책을 내놓지 못하고 있다.
한 시중은행 관계자는 인터넷뱅킹 보안을 강화하는 것만으로도 일손이 달려 모바일뱅킹은 신경도 못 쓰고 있다며 다른 은행도 사정이 비슷할 것으로 예상된다고 털어놨다.
익명을 요구한 한 보안 관련 교수는 위변조 앱을 방치하는 것은 대형 금융사고가 터질 수 있는 폭탄을 안고 있는 것과 같다며 소스코드 공개 정책을 유지하고 있는 구글이 금융 앱에 대해서는 프로그램 소스를 쉽게 위변조할 수 없게 별도의 인증을 하는 것도 해결 방법이 될 수 있다고 주장했다.
일각에서는 탈옥폰 사용자들도 정식 앱을 쓸 수 있게 해야 한다는 의견도 나온다. 현재는 탈옥폰을 통한 뱅킹 시스템 접속 자체를 막다 보니 탈옥폰 사용자들이 위변조 앱을 찾아 나설 수밖에 없다는 것이다.
박창규 kyu@donga.com
About Dong-A Ilbo