"공인인증서 유심으로 옮겨도 해킹 공격 차단 못해"
17일 익명을 요구한 보안 전문가이자 화이트 해커인 A씨는 이통사가 지난 15일 공동으로 출시한 '유심 공인인증' 서비스가 해커들의 공격으로부터 전혀 안전하지 않다고 주장했다. 유심 공인인증 서비스는 쉽게 말해 은행 애플리케이션(이하 앱) 사용시 PC에서 가져오는 공인인증서 파일을 스마트폰 내부 저장공간 대신 유심에 저장하는 방식이다. 스마트폰에 침투한 해킹 프로그램이나 악성코드로 유심의 정보는 빼낼 수 없다는 특징을 이용해 고안한 것이다.
그가 소개한 해킹 기법은 '앱 리패키징 공격'이다. 정상적으로 올린 앱의 소스코드를 역으로 해체해(디컴파일) 원하는 모듈이나 광고를 심은 뒤 다시 유통하는 방식이다. 예를 들어, 해커는 설치 파일인 'B은행.apk'라는 파일을 추출해 구성된 소스코드를 뜯어 고치고 이를 다시 배포한다. 원본 파일을 기반으로 악성코드만 심어 놓은 것이기 때문에 일반 사용자들 입장에서는 '정상적인 앱'과 다름없다. 사용자가 변형된 앱을 통해 공인인증서에 로그인을 하고, 누군가에게 송금을 하면 해킹은 이미 끝난 것이나 마찬가지다. 피해자의 스마트폰에는 돈을 보내려던 사람에게 정상적으로 처리됐다는 메시지까지 감쪽같이 표시되지만 실제로 이 돈은 원래 받아야할 사람이 아닌 해커에게 보내진다.
A씨는 "인증서를 사용하는 앱의 보안을 강화하는 게 중요한 것"이라며 "공인인증서는 그냥 준다고 해도 해커들에겐 쓸모가 없다"고 말했다. 실제로 지난해 숭실대학교에서 발표한 논문(Repackaging Attack on Android Banking Applications and Its Countermeasures)에도 이같은 기법을 사용해 해킹에 성공한 사례가 소개됐다. 국내 특정 은행의 앱에 악성코드를 넣고 리패키징 공격을 진행, 피해자의 돈을 빼낸 것이다.
권용민 기자 festym@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>