본문 바로가기
IT 동향

스마트폰뱅킹 위험 경고 명심해야만 하는 이유

by SenseChef 2014. 1. 16.

루팅이나 탈옥이 위험 하다고 하는데 나는 괜찮겠지 ! 

 

스마트폰을 사용하다보면 자연스럽게 루팅(Rooting)이나 탈옥(Jailbreak)이라는 용어를 접하게 된다. 구글이나 애플, 제조업체가 정해 놓은 사용 기준을 초과하여 자신의 스마트폰을 마음껏 꾸미고 설정을 바꿀 수 있는 좋은 방법이기 때문이다.


그러나 루팅이나 탈옥을 하면 스마트폰의 보안이 취약해져 위험해진다는 충고도 함께 듣는다. 분명 중요하고 우려를 하게 되는 사항이나 루팅 또는 탈옥 후 별다른 문제가 없으면 이를 잊게 된다. 다른 사람들은 몰라도 자신의 스마트폰은 안전할거라는 근거없는 자신감이 이러한 현상을 불러 온다.


최근 한 보안 전문 기관이 변형된 스마트폰의 보안 위험성에 대해 다시 경고 하고 나섰다. 그러나 자신이 스마트폰을 잘 알고 있으니 계속해서 이런 경고를 무시해도 좋을까 ? 스마트폰의 해킹은 여전히 남의 일만일까 ?

스마트폰 금융 거래의 안전성에 대한 고민 ! Image source: Office clip art

 

 

안전하다는 아이폰에서도 탈옥하면 피싱이나 금융정보 노출 피해를 입을 수 있다 !

 

스마트폰의 보안에 대해 얘기할 때 빠지지 않고 나오는 반론 중의 하나는 '아이폰은 안전하다'이다. 폐쇄적인 애플의 운영체제 정책상 출처 불명의 앱이나 서비스, 링크가 iOS에서는 실행 될 수 없기 때문이다. 따라서 '스마트폰의 보안'이라고 말하지 말고  '안드로이드 스마트폰의 보안'이라 표현해야 된다는 주장도 있다.


그런데 보안 전문기관의 연구에 의하면 애플 아이폰이나 아이패드도 탈옥 되었다면 절대 안심할 수 없다고 한다. 이들이 금융 앱의 보안 점검을 해 보았더니 상당수 앱에서 보안성 취약점이 발견 되었다고 한다. 다음은 이에 대한 세부적인 내용이다(출처: IOActive, TomsGuide).


IOActive라는 보안 평가 전문 기업이 애플 iOS에서 널리 이용되는 40여개의 모바일 뱅킹 앱에 대한 보안 점검을 벌였다. 여기에는 세계적인 금융기관의 앱도 포함되어 있다고 한다.


이들은 뱅킹 앱의 서버와의 통신 방법, 스마트폰 저장 장치로의 데이터 저장 방법, 로그나 리포트를 통한 정보 누출 여부에 대해 조사를 진행했다.


조사 대상 앱들은 모두 탈옥된 상태의 애플 단말기에서도 실행 될 수 있었다. 금융 앱이 아이폰의 탈옥 여부를 판단해 접속을 차단하지 않는다는 의미이다.


탈옥된 아이폰에서 금융 앱이 실행되는 경우 해커가 애플 iOS에 적용된 보안 기능들을 우회 시켜 다른 앱에만 허용된 정보들에 접근할 수 있는 것으로 나타났다.


조사 대상 금융 앱의 40%는 이용자들이 해커가 만든 가짜 사이트로 유도되어 자신의 로그인 정보를 유출 시킬 수 있는 취약점이 있다고 한다.


90%의 앱은 암호화 되어 있지 않은 접속(Non-SSL link)을 이용하고 있어, 해커가 자바 스크립트나 HTML 코드를 중간에 삽입할 수 있는 것으로 분석 되어졌다. 이 경우에도 가짜 로그인 사이트를 만들어 이용자들의 개인 정보를 탈취할 수 있디.


일부 뱅킹 앱들은 시스템 접속 기록이나 오류 리포트(Crash report)를 통해 민감한 정보를 유출 시키고 있는 것으로 나타났다.


이러한 보안 문제 해결을 위해서는 데이터 전송 프로토콜의 보안성 강화, SSL을 이용한 인증 신뢰성 강화, 데이타 암호화, 탈옥폰에 대한 감지 기능 강화가 권고 되고 있다.



 

루팅을 켜고 끌 수 있는 안드로이드 ! 상대적으로 안전하나 안심해서는 안 된다 !

 

루팅이나 탈옥이 보안에 취약한 것이라면 이를 필요할 때마다 켜고 끄면 문제가 간단히 해결 된다. 안드로이드 스마트폰의 경우 다행히 앱을 통해 루팅 상태를 쉽게 변경 시킬 수 있다. 루팅에 대한 Enable과 Disable을 쉽게 할 수 있는 것이다.


그러나 루팅을 일시적으로 꺼 둔 경우 정말 보안상 취약점이 없는 것인지에 대한 확신은 서지 않는다. 루팅을 일시적으로 중지 시켜도 안드로이드 스마트폰 자체에 루팅 코드가 들어 있고 화일 시스템도 여전히 바뀌어져 있다. 따라서 안드로이드 스마트폰 어딘가에 알려져 있지 않은 취약점이 존재할 수 있는 것이다.


따라서 루팅된 안드로이드 스마트폰도 지속적인 보안 점검이 필요하다. 스마트폰용 백신 소프트웨어를 설치해 두고, 스마트폰의 상태를 수시 점검한다면 위안이 될 것이다.

 

국가 차원에서 추진되고 있는 보안 대책에만 의지할 수는 없다 !

 

정부에서는 스마트폰을 통한 금융 거래 및 위험성 증가에 대비하기 위해 스마트폰 금융에 대한 보안 대책을 마련하고 있다. 은행권을 대상으로 전자금융사기 예방 서비스 구축에 나서고 있으며, 보안 인증 강화를 위해 1회용 비밀 번호 발생기의 교체도 추진 중이다.


또한 금융앱스토어를 별도로 만들어 변조되지 않은 금융 앱을 이용자들이 이용할 수 있도록 장려하고 있다. 그러나 아이러니 하게도 해커들은 이러한 금융 앱스토어마저 스미싱을 위해 이용하고 있다.


금융 앱스토어(http://fineapps.co.kr)에 들어가 보면 금융 앱스토어를 사칭하는 피싱 사이트를 주의 하라는 다음과 같은 경고 내용이 게시되어 있다. 정부에서 만든 금융 앱스토어마저 악용될 수 있는 상황이니 스마트폰의 보안에 대해 정말 심각하게 생각해 보아야 한다.

Image source: www.fineapps.co.kr



루팅이나 탈옥 ! 위험성을 인지하고 자신이 감당할 수 있을 때에만 하자 !  


스마트폰의 자유로운 이용은 분명히 보장 되어야 한다. 그러나 자유에는 필연적으로 책임이 따르며, 피해가 발생 되면 다른 사람에게 하소연 하기 어렵다.


스마트폰에 깔려 있는 기본 탑재 앱을 삭제하고, 앱 스토어에 등록되지 못한 앱을 이용 할 수 있으며, 스마트폰의 MAC address까지도 바꿀 수 있는 루팅이나 탈옥은 거부할 수 없는 매력으로 다가온다. 그러나 이렇게 되면 자신의 스마트폰에 보안상 허점이 발생될 수 있고 언제라도 피해자가 될 수 있음을 명심해야 한다.


따라서 루팅이나 탈옥이 꼭 필요하다면 이러한 스마트폰에서는 금융 거래나 중요한 사이트의 접속을 하지 않는 것이 좋다. 요즘 스마트폰의 교체 주기가 빨라져 남는 스마트폰이 있다면 이를 금융거래용 전용 폰으로 이용하는 것도 좋은 방법일 것이다. 스마트폰용 백신 앱을 설치하고 주기적으로 안전 상태를 검사하는 것도 필요하다.  


자꾸만 경고가 나오는 스마트폰에서의 금융 거래 ! 결국 자신이 직접 나서서 보안을 강화해야 한다. 자신의 선택이 보안에 위해를 가하기도, 이를 강화 하기도 한다. 위험에 빠진 스마트폰으로 금융 거래를 하려는 사람은 없을 것이나 이를 무시하는 사람은 많음을 명심해야 할 것이다.