화이트 해커 "유심 인증서 안전, 이통사 주장은 과장"

"공인인증서 유심으로 옮겨도 해킹 공격 차단 못해"

[아시아경제 권용민 기자] 이동통신 3사가 공동으로 추진해 내놓은 '유심(USIM) 공인인증' 서비스가 이통사 장담대로 보안 사고를 예방해줄까. 스마트폰에 저장된 공인인증서를 유심으로 옮겨 가입자 정보보호를 강화한다는 취지이지만, 해커들의 생각은 다르다. 이번 조치가 해킹 공격을 방어하기에는 역부족이어서 실효성이 떨어진다는 것이다.

17일 익명을 요구한 보안 전문가이자 화이트 해커인 A씨는 이통사가 지난 15일 공동으로 출시한 '유심 공인인증' 서비스가 해커들의 공격으로부터 전혀 안전하지 않다고 주장했다. 유심 공인인증 서비스는 쉽게 말해 은행 애플리케이션(이하 앱) 사용시 PC에서 가져오는 공인인증서 파일을 스마트폰 내부 저장공간 대신 유심에 저장하는 방식이다. 스마트폰에 침투한 해킹 프로그램이나 악성코드로 유심의 정보는 빼낼 수 없다는 특징을 이용해 고안한 것이다.

하지만 A씨는 '인증서'를 보호하는 것은 무의미하다고 주장했다. 그는 "해킹으로 금전적 이득을 취하는 데 인증서는 필요없다"며 "인증서가 어디에 저장돼 있고 어느 정도 겹겹이 쌓여 있는지는 해커들의 관심사가 아니다"고 설명했다. 스마트 뱅킹을 위해서는 인증서가 어디에 저장돼 있든 결국 앱에 로그인을 해야 하는데 사용자가 로그인하면 해킹은 성공한다는 게 그의 설명이다.

그가 소개한 해킹 기법은 '앱 리패키징 공격'이다. 정상적으로 올린 앱의 소스코드를 역으로 해체해(디컴파일) 원하는 모듈이나 광고를 심은 뒤 다시 유통하는 방식이다. 예를 들어, 해커는 설치 파일인 'B은행.apk'라는 파일을 추출해 구성된 소스코드를 뜯어 고치고 이를 다시 배포한다. 원본 파일을 기반으로 악성코드만 심어 놓은 것이기 때문에 일반 사용자들 입장에서는 '정상적인 앱'과 다름없다. 사용자가 변형된 앱을 통해 공인인증서에 로그인을 하고, 누군가에게 송금을 하면 해킹은 이미 끝난 것이나 마찬가지다. 피해자의 스마트폰에는 돈을 보내려던 사람에게 정상적으로 처리됐다는 메시지까지 감쪽같이 표시되지만 실제로 이 돈은 원래 받아야할 사람이 아닌 해커에게 보내진다.

A씨는 "인증서를 사용하는 앱의 보안을 강화하는 게 중요한 것"이라며 "공인인증서는 그냥 준다고 해도 해커들에겐 쓸모가 없다"고 말했다. 실제로 지난해 숭실대학교에서 발표한 논문(Repackaging Attack on Android Banking Applications and Its Countermeasures)에도 이같은 기법을 사용해 해킹에 성공한 사례가 소개됐다. 국내 특정 은행의 앱에 악성코드를 넣고 리패키징 공격을 진행, 피해자의 돈을 빼낸 것이다.

서비스를 출시한 이통사도 이같은 사실을 인정한다. 한 통신사 관계자는 "유심 공인인증 서비스가 앱 리패키징 공격 방식은 막을 수 없다"면서도 "원척적으로 인증서 복사를 막았기 때문에 누군가 공인인증서와 비밀번호를 탈취해 해킹하는 것은 확실하게 막을 수 있다"고 설명했다. 이와 관련해 A씨는 "앱 리패키징 공격을 당하지 않기 위해서는 루팅을 하지 않고 인증서를 사용하는 모든 스마트 앱은 공식 사이트에서만 내려받아야 한다"고 조언했다.

권용민 기자 festym@asiae.co.kr