[디지털데일리 심재석기자] 지난 23일부터 ‘은행공동 금융앱스토어 서비스’가 개시되면서 이에 대한 비판의 목소리가 높아지고 있다. 보안을 명분으로 금융 관련 앱들을 하나의 앱스토어에서만 내려받도록 강요하는 것이 마치 공인인증서 정책과 유사하다는 지적이다.

금융결제원은 지난 23일부터 스마트폰 사용자가 국내 17개 은행에서 제공하는 뱅킹앱 등을 한곳에서 내려받을 수 있는 '은행공동 금융앱스토어 서비스'를 시작한 바 있다.

금융결제원은 이번 서비스 실시로 뱅킹앱의 유통창구를 단일화해 뱅킹앱을 대상으로 출현하고 있는 피싱앱(위·변조앱)을 원천적으로 차단할 수 있을 것으로 기대했다. 서비스 대상은 안드로이드, 블랙베리, 윈도모바일 운영체계(OS) 기반의 스마트폰이다. 

앞서 금융위원회는 지난 8일 “일부 앱스토어에서 정상적인 금융앱을 위장한 피싱앱이 발견돼 금융정보 유출로 인한 금전적 피해가 발생할 우려가 있다”며 “안전한 모바일 금융거래를 위해 금융기관 통합 앱스토어를 구축해 피싱앱의 등록 및 유통을 원천 차단할 것”이라고 밝힌 바 있다.

그러나 이같은 정책에 대한 비판의 목소리가 높다.

오픈웹 김기창 교수(고려대)는 “(은행공동 앱스토어라는) 발상 자체가 자살골”이라면서 “보안 강화는 커녕 무장해제토록 하는 정책”이라고 비판했다.

김 교수에 따르면, 은행공동 금융앱스토어는 ‘알 수 없는 소스’에서의 앱 설치 차단 기능을 해제토록 강요하고 있다. 안드로이드폰의 경우 구글 플레이 스토어가 아닌 다른 스토어에서 앱을 설치할 경우 보안 경고 창이 뜨도록 돼 있는데 이를 해제토록 한다는 것이다. 

‘알 수 없는 소스’에서 앱 설치를 허용하면 스미싱과 같은 해킹 수법에 속을 가능성이 높다는 것이 김 교수의 설명이다.

 김 교수는 “스마트폰 악성코드 앱들은 대부분 구글 플레이 스토어가 아닌 블랙마켓을 통해 유통된다”면서 “알 수 없는 소스에서의 앱 설치를 허용하라고 강요하는 정책은 금융당국이 사용자들의 스마트폰을 위험하게 열어두라고 요구하는 것과 같다”고 강조했다.

또 은행공용 앱스토어 자체를 모방한 피싱 사이트의 등장도 우려된다. 지난 23일 은행공용 앱스토어가 발표된 이후 한 네티즌은 이와 똑같이 생긴 웹사이트를 개설했다. 악성코드를 유포하는 사이트는 아니지만, 언제든 은행공용 앱스토어 피싱 사이트가 등장할 수 있음을 보여주는 것이다. 특히 이런 사이트는 문자메시지를 통해 스미싱에 이용될 가능이 크다.

이와 관련, 한 관계자는 “공인인증서와 보안 솔루션이  액티브엑스를 설치하도록 유도해 우리나라 보안이 취약해졌다는 평가가 있다”면서 “알 수 없는 소스의 앱 설치를 유도하는 것은  제2의 공인인증서, 엑티브엑스와 같다”고 비판했다.

<심재석 기자>sjs@ddaily.co.kr