본문 바로가기

신동아 로고

통합검색 전체메뉴열기

편리한 모바일 결제? 연락처, 문자, 개인정보 마구잡이 수집

12개 금융사 앱 정밀분석

  • 배수강 기자|bsk@donga.com, 김건희 객원기자|kkh4792@hanmail.net

편리한 모바일 결제? 연락처, 문자, 개인정보 마구잡이 수집

2/5

개인정보 1억 건 유출

지난 4월에는 자동화기기(ATM) 전산망이 악성코드에 감염되면서 유출된 28명의 시티카드 고객이 불법 부당인출을 당하는 피해를 봤다. 해커들은 전산망에 악성코드를 설치한 뒤 제어(C&C) 서버로 카드 정보와 카드 소유자 개인정보, 은행 계좌번호 등을 빼냈는데, 64개의 ATM기에서 유출한 2500건의 정보 중 일부로 복제카드를 만든 것으로 나타났다. 유출 정보는 민감하고 방대했다. 개인 신상정보와 결제계좌는 물론 이름, 주민등록번호, 연락처, 집 주소, 연봉, 결혼 여부, 신용등급 정보까지 유출됐다. 금융권이 수집하는 정보가 방대한 만큼 보안 사고 시 유출되는 개인정보도 방대할 수밖에 없다.

이처럼 보안사고가 터질 때마다 금융사들은 “보안을 확실히 하겠다”며 머리를 숙였지만, 이용자로서는 여전히 불안하다. 2016년 말 KT경제연구소가 발표한 ‘모바일뱅킹 이용 현주소’ 보고서에 따르면, 모바일뱅킹을 이용하지 않는 이유로 △해킹에 대한 우려(41.8%) △작은 화면에 대한 불편함(13.6%) △스마트폰 분실 위험(12.7%)을 꼽았다.

그렇다면 국내 금융 앱 보안 상태는 어떤 수준일까. 국내 금융권은 금융거래와 관련 없는 개인정보를 왜, 얼마나 수집할까. 금융사가 수집한 개인정보는 보안 사고가 발생하면 통째로 유출된다.

‘신동아’는 국내 금융 앱 보안 상태를 점검하고 해킹 위험성을 살펴보기 위해 지난 1월부터  ‘조샌드박스 클라우드(JoeSandbox Cloud)’를 활용해 국내 금융사의 모바일 앱(안드로이드 버전)을 분석했다.





‘보안 바로미터’ 접근권한

조샌드박스는 스위스의 악성코드 분석 솔루션 전문업체인 ‘조시큐리티(JoeSecurity)’가 내놓은 자동화 악성코드 분석 정밀 프로그램. 각국 정부기관을 비롯해 금융사, 기업, 침해사고 대응조직(CERT), 보안 솔루션 및 서비스 기업들이 사용한다. 금융감독원에 공시된 2016년 금융사의 영업이익과 당기순이익을 기준으로 8개 카드사(신한·삼성·KB국민·현대·비씨·롯데·우리·하나카드)와 4대 은행(신한·하나·우리·KB국민은행) 등 총 12개 모바일 금융 앱을 분석했다.

이 프로그램을 통해 ‘신동아’는 국내 금융 앱이 사용자에게 요구하는 ‘앱 접근권한 목록’을 상세하게 확인할 수 있었다. 접근권한은 앱 서비스 제공자가 사용자의 스마트폰에 저장된 정보나 기능에 접근할 수 있는 권한. 앱마다 다르긴 하지만, 보통 사용자의 위치와 통화 정보, 주소록(연락처), 카메라, 계정 정보, 음성 녹음, 문자메시지, 저장소, 네트워크 통신 등을 요구하는데, 이는 모두 사용자의 개인정보와 관련 있다. 접근권한은 앱 보안 상태를 보여주는 ‘바로미터’인 셈이다.

분석 결과, 국내 금융 앱 12개가 사용자에게 요구하는 권한은 총 283개였다. 평균 23.58개 권한을 요구했다. 가장 많은 권한을 요구한 것은 현대카드 앱으로, 35개 권한을 사용자에게서 가져갔다. 이어 신한 FAN(34개), 삼성카드(32개), 비씨카드(30개), KEB하나은행 스마트폰뱅킹(26개), KB국민은행 스타뱅킹(21개), 우리·KB국민카드·스마트롯데카드(19개), 하나카드·우리은행 원터치개인뱅킹(17개), 신한카드(14개)가 뒤를 이었다.

주목할 점은 금융 앱이 사용자에게 고지하는 접근권한보다 더 많은 정보를 가져간다는 것. 일례로 구글플레이(Google Play)에서 비씨카드 앱 권한정보를 보면 24개 권한을 요구하지만, 조샌드박스 클라우드 분석에 따르면 이 앱이 사용자에게서 가져가는 권한은 총 30개에 달했다. 이용자 몰래 추가로 권한을 가져간 것인데, 이는 비씨카드가 사용자에게 접근권한 항목과 용도를 상세히 밝히지 않기 때문이다.




2/5
이 기자의 다른기사 더보기
목록 닫기

편리한 모바일 결제? 연락처, 문자, 개인정보 마구잡이 수집

댓글 창 닫기

2019/12Opinion Leader Magazine

오피니언 리더 매거진 표지

오피니언 리더를 위한
시사월간지. 분석, 정보,
교양, 재미의 보물창고

목차보기구독신청이번 호 구입하기

지면보기 서비스는 유료 서비스입니다.