금융권 스마트폰 뱅킹 해킹 '유비무환'

악성코드 공습 예고에 보안솔루션 앞다퉈 도입

[아시아경제 서소정 기자]최근 스마트폰을 대상으로 한 악성코드 피해 가능성이 제기되면서 금융업계가 앞다퉈 보안솔루션 도입에 나서고 있다.

10일 관련업계에 따르면 지금까지 제기된 스마트폰 해킹이 아직 구체적인 피해 사례로 불거지지는 않고 있지만 보안이 최우선시돼야 할 금융업계 특성상 사전예방이 필수라는 지적에 따라 이같은 움직임이 확산되고 있다. 국내에 안드로이드폰 보급이 급속도로 이뤄짐에 따라 신규 악성코드의 스마트폰 공습이 예상된다는 우려도 만만치 않은 상황이다.

이와관련, 금융결제원(원장 송창헌)은 지난 2일 안드로이드 운영체제(OS) 기반 스마트폰용 안티 바이러스 소프트웨어를 도입한다는 입찰공고를 내고, 오는 12일 제안서 접수를 마감해 8월중 사업자 선정에 나설 계획이다.

이번 사업은 안드로이드폰용 모바일 뱅킹서비스와 지불결제(PG)서비스 구축에 적용되며, 향후 5년간 사용될 라이선스 계약이라는 점에서 보안업계의 비상한 관심을 모으고 있다. 또한 금융결제원에 제품을 공급할 경우, 다른 기업의 레퍼런스로 활용될 가능성이 커 안철수연구소, 쉬프트웍스, 하우리 등의 보안업체가 참여 의사를 밝힌 상태다.

아울러 올 상반기에는 KB국민은행, 신한은행, 하나은행 등 국내 17개 은행이 윈도 모바일 기반 스마트폰용 안티 바이러스소프트웨어 도입을 마쳤다. 또한 농협, 우리은행, 하나은행, 외환은행, SK증권 등은 현재 안드로이드 기반 안티 바이러스 소프트웨어를 도입하거나 구축 작업을 진행중인 것으로 전해졌다.

금융결제원은 올 초부터 은행 공동사업으로 스마트폰 기반의 모바일 뱅킹서비스를 준비해왔으며, 아이폰과 윈도 모바일폰 등에 대한 서비스를 일부 오픈했다.

이처럼 금융권이 스마트폰용 백신 도입에 팔을 걷어붙인 것은 최근 블랙햇, 데프콘 등 해외 유명 해킹 콘퍼런스에서 아이폰과 안드로이드폰을 대상으로 한 해킹 시연이 소개되면서 악성코드 감염 우려가 현실문제로 부각됐기 때문이다.

미국 보안업체인 룩아웃은 안드로이드폰에서 배경화면을 바꿔주는 애플리케이션(이하 앱)인 '월페이퍼'가 해커에 의해 악용됐다고 폭로했는데, 이 앱을 다운받을 경우 스마트폰 하드웨어 고유번호는 물론 심카드 고유번호, 사용자 본인의 이메일 주소 등이 유출되는 것으로 드러났다.

현재 퍼지고 있는 악성 앱들은 스마트폰에 내장된 타인의 전화번호, 단문메시지(SMS) 등 민감한 정보를 유출하는 수준은 아니다. 하지만 만약 앱 개발자가 악의적으로 사용자 스마트폰의 기능을 모든 사용할 수 있는 권한을 획득하도록 프로그램을 설계한다면 스마트폰의 각종 개인정보가 통째로 해커 손아귀에 넘어갈 것으로 우려되고 있다.

특히 금융권의 경우 그 피해는 매우 심각할 것으로 예상된다. 금융보안전문가는 "안드로이드폰은 PC와 같이 특정 디렉토리에 데이터를 저장하기 때문에 해커가 악성 앱을 만들어 스마트폰에 저장된 공인인증서를 유출할 경우에는 심각한 피해를 초래할 수 있다"고 경고했다.

이에 따라 악성코드 감염을 막기 위해서는 스마트폰 이용자 개개인이 PC사용시 보다 한 단계 더 높은 수준의 보안의식을 갖는 것이 필요하다는 것이 전문가들의 지적이다. 앱스토어에서 앱을 다운로드 받을 때 앱의 기능을 꼼꼼히 살펴보고, 불필요한 권한을 요구하는 앱은 일단 의심해볼 필요가 있다는 것이다. 아울러 공신력있는 회사가 제작한 앱인지 확인하는 절차도반드시 수반돼야 한다.

안철수연구소 조주봉 연구원은 "안드로이드 마켓에서 앱을 내려받을 때 그 앱의 기능과 무관한 권한을 허용토록 요구하는 앱은 다운받지 말아야 한다"며 "단순히 배경 화면을 바꾸는 앱인데 SMS나 전화번호부를 읽고 쓰는 권한을 요구한다든지, 위치정보시스템(GPS) 컨트롤을 사용하게 한다든지 하는 경우는 악성 앱일 공산이 크다"고 조언했다. 이와함께 앱 순위가 지나치게 낮거나 잘 알려지지 않은 회사가 제작한 앱은 가급적 다운로드를 피하는 것이 상책이라는 것이다.



서소정 기자 ssj@
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>