본문 바로가기

신동아 로고

통합검색 전체메뉴열기

편리한 모바일 결제? 연락처, 문자, 개인정보 마구잡이 수집

12개 금융사 앱 정밀분석

  • 배수강 기자|bsk@donga.com, 김건희 객원기자|kkh4792@hanmail.net

편리한 모바일 결제? 연락처, 문자, 개인정보 마구잡이 수집

1/5
  • ● 일정 읽기, 음성녹음, 위치 등 283개 권한 요구
  • ● ‘위험 단계’ 권한도 17개…이용자는 내용 모른 채 ‘동의’
  • ● 앱 개발자 “내려받을 때 대량 정보 수집…이용자 기만”
  • ● 금융사들 “말할 수 없다”…신동아 분석 결과에 ‘함구’
  • ● ETRI “권한 과도하게 요구, 해킹 위험 내재”
  • ● “무리한 정보 요구하면 앱 삭제해야”…‘자기정보결정권’
편리한 모바일 결제?  연락처, 문자, 개인정보 마구잡이 수집

조샌드박스 클라우드 분석 결과 일부

서울과 부산에서 사업을 하는 양모 대표(공학박사)는 수서발 고속철도(SRT)를 이용하면서 신한카드 모바일 카드 결제 플랫폼인 ‘신한 FAN(판)’ 애플리케이션(앱)을 내려받았다. SRT 이용 시 할인 혜택을 받을 수 있다는 광고를 봤기 때문.

며칠 후 그에게 ‘신한 FAN 클럽 신규 가입 시 3000포인트를 지급한다’는 문자메시지(MMS)가 날아들었다. 그러나 첨부된 링크에 접속하자 휴대전화 화면에 ‘악성코드 발견(Malware detected)’ 알림이 떴다. 오래전 휴대전화에 깔아둔 멀웨어탐색 앱 ‘멀웨어바이트(Malwarebytes)’가 신한 FAN 앱에서 악성코드 ‘트로이목마’가 있는 것으로 의심된다고 진단했기 때문. 이 앱에선 악성 소프트웨어 검사 서비스인 ‘바이러스토탈(Virustotal)’에서도 8개의 바이러스가 발견됐다.

금융 앱에서 트로이목마가 감지된다는 것은 보안에 구멍이 뚫리는 ‘백도어(Backdoor·유사시 문제 해결을 위해 시스템 관리자나 개발자가 정상적인 절차를 우회해 시스템에 출입할 수 있도록 임시로 만들어둔 비밀 출입문)’가 작동될 수 있음을 뜻한다.

신한 FAN은 2013년 4월 서비스를 시작해 4년 만에 누적 가입 회원이 800만 명을 넘어선 대표적인 금융 모바일 앱. 양 대표는 신한 FAN 앱 보안이 위험 수위를 넘어섰다고 판단하고 국가사이버안전센터와 한국인터넷진흥원(KISA)에 ‘신한 FAN 앱의 보안 위험성’을 알리는 e메일을 보냈다. 개인 및 금융정보 해킹 위험성이 있으니 철저히 확인해서 보안 사고를 막아달라는 취지였다.  
“모바일뱅킹 시대에 가장 중요한 것은 보안 문제다. 금융 앱에는 금융정보를 비롯한 개인정보가 가득한 만큼 이용자가 의심 사례를 제보하면 보안상 문제가 없는지, 해킹 대비책이 마련돼 있는지 정밀 검토해야 하는데 이상하게도 황당한 답변이 왔다.”

KISA는 양 대표의 제보에 “휴대전화 관련 문의 사항은 통신사 또는 휴대전화 제조사 쪽으로 문의해달라”고 답했다.

“제조사에 문의하라” 황당 답변

편리한 모바일 결제?  연락처, 문자, 개인정보 마구잡이 수집

개인정보 유출 사고 직후인 2014년 1월 20일 카드사 사장·임원들은 허리 숙여 사과했다. [동아일보]

금융 앱은 금융사가 앱 개발·유지 보수를 맡은 외부 개발사와 계약을 체결해 출시하는 만큼 단말기 제조사와 무관하다. 만에 하나 바이러스 백신의 ‘오탐(誤探)’이라 하더라도, KISA로선 신한 FAN 앱 서비스 사업자인 신한카드 측에 관련 사항을 확인하고, 민원인에게 그쪽으로 문의하라고 안내하는 게 상식이다.

KISA 측은 ‘신동아’와의 전화통화에서 “최종 사업자인 금융사를 포함해 통신사 또는 휴대전화 제조사에 문의하라고 안내한 것인데 오해의 소지가 있었다. KISA는 모바일 앱에 대한 개인정보를 강화하는 업무를 맡고 있지만, 국내 금융 앱은 전자금융거래법에 해당하기 때문에 금융감독원의 소관이라 현실적인 어려움이 있다”고 해명했다. KISA가 ‘소관’이라던 금감원 역시 “모바일 앱 해킹에 대한 감시 권한은 미래창조과학부에 있다”며 발을 뺐다.

이용자가 대량 피해를 막기 위해 짬을 내 제보한 사실을 정부 당국이 다각적인 보안 점검에 나서기는커녕 서로 떠넘기는 듯한 모양새를 보인 것. 양 대표는 “개인정보 유출이나 해킹 위험성에 대응하는 국가기관의 프로세스가 이처럼 부실하다는 것에  놀랐다”며 “고객 유치에만 혈안이 된 금융권과 정부 당국의 안일한 인식 때문에 유독 국내에서 보안사고가 자주 발생하는 것 같다. 이와 관련한 논문을 쓸 생각”이라고 말했다.

그의 말처럼, 모바일뱅킹 이용자가 1100만 명이 넘는 우리나라에서 금융 보안 사고는 어제오늘 일이 아니다. 2014년에는 KB국민카드, 롯데카드, NH농협카드 3사 용역업체 직원이 1억 건이 넘는 고객 개인정보를 빼돌려 대출광고업자에게 판 사상 최대 규모의 정보유출 사건이 발생했고, 삼성카드 모바일 앱카드 명의도용 사고 등 크고 작은 사고가 잇따랐다.

1/5
이 기자의 다른기사 더보기
목록 닫기

편리한 모바일 결제? 연락처, 문자, 개인정보 마구잡이 수집

댓글 창 닫기

2017/10Opinion Leader Magazine

오피니언 리더 매거진 표지

오피니언 리더를 위한
시사월간지. 분석, 정보,
교양, 재미의 보물창고

목차보기구독신청이번 호 구입하기

지면보기 서비스는 유료 서비스입니다.