- ‘알 수 없는 출처’ 옵션 허용이 제일 큰 우려사항

[디지털데일리 이민형기자] 지난달 23일 금융결제원의 금융앱스토어 서비스가 본격 시작됐으나 이를 보는 시선은 여전히 곱지 않다.

금결원은 금융 애플리케이션(앱)을 보다 안전하게 받을 수 있도록 기획했다고 말하지만, 금융앱스토어로 인해 더 큰 위험이 생길 수 있다는 시민단체들의 주장도 팽배한 상황.

금융앱스토어는 금융 앱을 사칭한 피싱 앱에 대한 피해를 미연에 방지하기 위해 시작된 일종의 서드파티(3rd Party) 마켓이다. 문제는 서드파티 마켓을 사용하기 위해서 ‘알 수 없는 출처’ 항목에 동의를 해야한다는 것이다.

최근 국내에서 발생된 스미싱(Smishing) 사고들이 전부 ‘알 수 없는 출처’ 동의로 인해 발생한 것에서 볼 수 있듯이, 해당 항목은 안드로이드 보안에 있어서 가장 큰 취약점으로 지적되고 있다.

◆금융앱스토어 논란, 이유는?=안전한 금융 앱을 한 곳에서 받을 수 있다는 점은 분명 공급자와 수요자의 입장에서는 환영할 만한 일이다. 그러나 금융앱스토어 자체에 문제가 발생하거나 이를 사칭한 서비스가 등장할 경우 피해는 일파만파 커질 수 있다.

경제정의실천연합과 사단법인 오픈넷은 지난달 26일 금융앱스토어에 반대하는 공동성명을 발표했다.

그들은 “금융앱스토어는 보안기술 선택에 정부가 개입해 특정 기술의 사용을 강요할 뿐만 아니라, 보안의 기본 상식에도 맞지 않는 정책”이라며 “보안을 이유로 금융 앱을 한곳에 모아두는 것은 오히려 해커의 손쉬운 공격대상을 마련해 주는 셈이며 금융앱스토어를 가장한 간편한 피싱기법을 금융당국이 스스로 제공하는 것과 다름없다”고 우려했다.

특히 오픈넷은 금융앱스토어를 사용하기 위해 ‘알 수 없는 출처’ 옵션을 허용하도록 한다는 점이 매우 위험하다고 지적했다.

이에 대해 금결원 측은 “금융앱스토어에서 개별 은행 앱을 설치할 때는 앱 설치가 완료된 후 ‘알 수 없는 출처’ 옵션 허용을 해제하도록 자동안내하고 있다”고 해명했다.

또 “구글 플레이 마켓 정책상 피싱 앱 출현은 해결하기 어려운 문제”라며 “이를 미연에 방지하기 위해 만든 것이 금융앱스토어다. 다만 금융앱스토어 자체를 모방한 피싱 앱의 등장 가능성을 염두해두고 있으며 이에 대한 모니터링에 집중할 것”이라고 강조했다.

◆금융앱스토어의 문제점은 무엇?=금결원은 시민단체들이 지적하는 부분을 모두 해결할 수 있다고 주장하지만 이는 쉽지 않을 것으로 보인다.

먼저 ‘알 수 없는 출처’ 옵션을 허용했다가 다시 해제하는 절차는 안내에 불과했다. 금융앱스토어 설치 후, 금융 앱을 설치할 때 해당 옵션을 허용하라는 팝업이 뜨고, 설치가 끝나면 해제하라는 팝업이 다시 뜬다.

문제는 강제성이 없다는 것이다. 강제성이 있어도 문제지만, 없다면 이를 해제하지 않고 지나치는 사용자도 분명 발생할 수 밖에 없다.

금융앱스토어 자체를 설치할 때도 ‘알 수 없는 출처’ 옵션을 허용해야 하는 문제도 있다. 일부 인기기종(삼성전자 갤럭시, LG전자 옵티머스)에서는 이를 허용하지 않아도 설치되지만, 비인기기종들은 설치에서부터 ‘알 수 없는 출처’ 옵션을 허용해야 한다.

더 큰 문제는 단말기 자급제 등으로 판매된 안드로이드폰에서는 이조차도 이용할 수 없다.

금결원은 지난 2일 금융앱스토어 서비스를 SK텔레콤 T스토어, KT 올레마켓, LG유플러스 유플러스스토어 등을 통해서만 서비스하도록 변경했다. 모바일 웹을 통해 앱 패키지 파일(.apk)을 받도록 유도하는 것이 위험하다는 지적이 나왔기 때문이다.

그러나 단말기 자급제, 외산폰 등에는 통신사 마켓 설치가 쉽지 않고, 대부분의 사용자들은 통신사 마켓 설치를 원하지 않는다.

또 금융앱스토어 자체를 위조한 피싱 앱 등장도 주의해야한다. 과거 불법 앱을 내려받을 수 있는 블랙마켓에 악성코드가 삽입돼 수 많은 피해자가 발생한 것을 잊어서는 안된다.

이와 관련 금결원은 “구글 플레이 마켓 정책상 피싱 앱 출현은 해결하기 어려운 문제”라며 “이를 미연에 방지하기 위해 만든 것이 금융앱스토어다. 다만 금융앱스토어 자체를 모방한 피싱 앱의 등장 가능성을 염두해두고 있으며 이에 대한 모니터링에 집중할 것”이라고 말했다.

지금까지 지적된 문제점을 해결하지 못한다면 금융앱스토어 운영은 사용자들 비판에서 벗어나지 못할 것으로 예상된다.

<이민형 기자>kiku@ddaily.co.kr