인터뷰

스마트뱅킹 앱 무결성 검증, 어떻게 해야할까

이민형 기자
- 금융권, 개정 전자금융감독규정에 따라 스마트뱅킹 앱 무결성 검증해야
- [인터뷰] 신윤섭 소프트포럼 팀장

[디지털데일리 이민형기자] 지난해 10월 개정 고시된 전자금융감독규정에 따라 시중 은행들이 ‘전자금융거래프로그램 위변조 여부 등 무결성 검증방법 제공’을 촉각을 세우고 있다.

앞서 금융위원회는 지난 3월 21일 시중은행들에게 모바일뱅킹 앱에 대한 해킹 취약점에 대한 대책안을 이달 10일까지 제출하라고 권고한 바 있다. 이에 대부분의 은행들은 ‘애플리케이션 위변조 방지 솔루션’도입 쪽으로 가닥을 잡은 것으로 알려졌다.

25일 소프트포럼 신윤섭 팀장<사진>은 “스마트뱅킹 애플리케이션(앱) 무결성 검증을 위해 금융권들이 가장 고민하고 있는 부분은 위변조된 앱을 어떻게 차단할 것인가의 여부”라고 강조했다.

최근 일부 금융권 앱의 설치파일(iOS : .IPA, 안드로이드 : .APK)의 코드가 변경돼 재배포되는 문제가 자주 발생하고 있다. 이는 스마트폰 사용자들의 기능 향상을 목적으로 탈옥이나 루팅을 한 환경에서 금융권 앱을 사용하기 위한 니즈가 급격히 늘어났기 때문이다.

통상 탈옥이나 루팅이 된 스마트폰에서는 금융권 앱이 구동되지 않는다. 특정 파일(cydia, su)와 같은 파일의 유무를 체크하는 코드가 들어있기 때문이다.

그러나 일부 개발자들은 금융권 앱을 뜯어서 특정 파일의 존재유무를 체크하는 코드를 무력화해 재탄생(리버싱, Rebirthing)시켜 배포한다. 사용자의 입장에서는 탈옥한 상태에서도 금융권 앱을 쓸 수 있다는 장점이 있지만 이게 말처럼 편하기만 한 것은 아니다.

신 팀장은 “위변조된 앱들이 단순히 탈옥한 사실을 숨겨주는 코드뿐 아니라 사용자 정보를 탈취하는 코드를 심어놨을지는 아무도 알 수 없다”며 “가령 위변조된 스마트뱅킹 앱이 사용자의 금융정보를 탈취해갈 수 있다는 의미”라고 말했다.

국내에서는 이와 같은 사례가 발생하지 않았지만 해외에서는 이미 ‘드로이드드림(DroidDream)과 같이 정상 앱의 코드 변조를 통한 악성코드 유포나 개인정보 탈취가 이뤄진 사례가 발견됐다.

신 팀장은 “이를 방지하기 위해서는 금융권 앱을 아예 뜯어보지 못하도록 난독화 솔루션을 적용하는 것이 1차적으로 필요하다. 리버싱을 못하도록 막으면 이에 대한 피해가 줄어들기 때문”이라며 “2차적으로는 변조를 하더라도 해시를 분석해 금융 서비스를 이용하지 못하도록 차단하는 기술이 필요하다”고 설명했다.

위변조 방지 솔루션이 적용된 앱이 동작하는 절차는 다음과 같다.

우선 앱이 실행되는 해당 앱의 해시값이 위변조 분석 서버로 송출된다. 위변조 분석 서버는 해시값을 받고 정상인지 여부를 파악한 뒤 정상이라면 은행서버에 접근할 수 있는 권한을 내려주고, 정상이 아니라면 앱 구동을 정지시킨다.

신 팀장은 “해시값을 기준으로 앱의 정상유무를 가리는 방법는 오래전부터 사용되던 것으로 매우 강력한 보안 방법”이라며 “특히 앱 위변조 솔루션 전문업체의 경우 해시값 분석 뿐 아니라 코드 난독화, 리버싱·안티 디버깅 방지 등의 기술로 분석자체를 원천차단하는 기술을 보유하고 있다”고 설명했다.

현재 일부 은행에서는 앱 위변조 솔루션을 도입해 테스트하고 있는 단계에 돌입했다. 그러나 최종적인 구축 완료는 다소 시일이 소요될 것으로 보인다. 아직까지 앱 위변조 솔루션에 대한 레퍼런스가 존재하지 않고 확실한 대책이라는 테스트가 끝나지 않았기 때문이다. 금융권이 새로운 보안솔루션 도입시에 공통적으로 나타나는 ‘꼼꼼함’도 한몫한다.

신 팀장은 “올해 중으로 앱 위변조 솔루션 구축 소식이 하나둘씩 나올 것으로 기대하고 있다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널