- 현재 기술로 대응에 한계, 소비자 권리와 보안 간 상충도 문제

[디지털데일리 이상일기자] 금융위원회가 오는 4월 10일까지 은행들의 모바일뱅킹 앱 해킹 취약점 대응책 마련을 주문했지만 현실적인 대응은 어려울 것으로 보여 주목된다. 

29일 관련업계에 따르면 은행권을 중심으로 모바일 뱅킹 애플리케이션 해킹 취약점에 대응하기 위한 솔루션 도입이 적극 검토되고 있는 것으로 알려졌다. 하지만 현실적으로 해킹을 방지할 만한 완성도 높은 솔루션이 나와 있지 않아 도입한다 하더라도 미봉책에 그칠 전망이다.

앞서 금융위원회는 지난 21일 시중은행들에게 모바일뱅킹 앱에 대한 해킹 취약점에 대한 대책안을 다음달 10일까지 내야한다고 밝혔다. 빠르면 10일 이전에라도 금융감독원을 통해 안전성을 점검받도록 하겠다는 방침이다.

앞서 금융감독 당국은 지난해 10월 전자금융감독규정 개정을 통해 금융기관 또는 전자금융업자는 전자금융거래프로그램의 위·변조여부 등 무결성(권한자외 조작금지)을 검증할 수 있는 방법을 제공해야 한다고 정한바 있다.

이후 시중은행들은 본격적으로 스마트폰 해킹에 대한 대응책 마련에 들어간 바 있다. 하나은행이 현재 나와있는 솔루션을 중심으로 POC(사전검증)사업을 준비중에 있으며 국민은행은 인터넷 뱅킹 사이트의 위변조 방지를 위한 ‘웹인증’ 체계 구축을 진행할 계획이다.

스마트폰 해킹의 원인으로 지목되고 있는 것은 이른바 ‘탈옥’으로 알려진 ‘루팅’ 행위로 은행들은 루팅된 스마트폰에서 뱅킹 앱을 통해 서버에 접근하는 것을 차단하는 방식으로 대응해 왔다.

기업은행 관계자는 “3월부터 루팅된 스마트폰에서 뱅킹 애플리케이션에 접근하는 것을 더 강력하게 막고 있다”며 “대부분 은행들이 앱과 서버단에서 키 접속을 막는 방식으로 접근을 제한하고 있다”고 설명했다.

하지만 루팅폰 이용자들은 위변조된 뱅킹 앱을 사용해 금융사 보안 절차를 우회해 모바일 뱅킹을 이용하고 있다. 따라서 은행들은 위변조된 뱅킹 앱을 차단시키는 것이 관건이라고 파악하고 있는 상황.

그러나 위변조된 앱을 통한 뱅킹 사용을 현재 시중에 나와 있는 솔루션으로 걸러내지 못한다는 게 문제다.

은행권의 한 관계자는 “현재 시중에 나와있는 솔루션을 중심으로 보안팀에서 자체적으로 취약점 검사를 해봤지만 우회로 접속할 수 있는 방법이 있었다”며 “솔루션에서 지원이 미비한 만큼 완벽한 해킹 방지가 현실적으로 어렵다”고 전했다.

특히 문제가 되는 것은 안드로이드 운영체제 기반 스마트폰이다. 시중은행의 한 관계자는 “애플의 iOS 운영체제는 위변조 방지에 대해 안정성이 높은 편이지만 안드로이드 앱의 경우 누구나 위변조가 가능하고 배포가 가능하다는 점이 문제”라고 밝혔다.

위변조 된 스마트 뱅킹의 접근을 막는 것에 한계가 있다는 점에서 은행들은 골머리를 앓고 있다. 한편 루팅된 앱을 사용하는 고객들의 권리 문제도 불거지고 있어 은행들의 입장도 난감한 상황이다.

현재 전자금융법상 금융거래의 전산 사고에 대해 은행들이 모든 책임을 져야 하는 구조다. 하지만 스마트폰 루팅이나 위변조 앱을 사용하는 고객들은 스스로 선택을 통해 스마트폰을 루팅하거나 위변조 앱을 사용하고 있다.

루팅된 스마트폰에서 뱅킹 애플리케이션을 통해 서버에 접속하는 경우 은행들이 막고 있지만 이에 대한 고객들의 불만도 늘어가고 있다. 또 위변조 앱을 사용해서 피해를 입는 경우가 발생할 경우 책임 소재 문제가 불거질수 있다는 게 관련 업계의 시각이다.

이에 대해 한 은행의 관계자는 “소비자의 권리를 인정해야 하는 문제와 위변조 앱 사용에 대한 책임 소재 문제 등이 상충돼 은행권의 고민이 큰 상황”이라고 밝혔다.

<이상일 기자>2401@ddaily.co.kr