산업은행 스마트뱅킹앱(안드로이드) 관련 금융감독원 사용기

분량의 압박이 있으니 요약부터 해드립니다.
 
0. 요약
 
1) 산업은행은 안드로이드용 스마트뱅킹앱을 자사 홈페이지와 통신사 앱스토어를 통해 배포중.
2) 이중 자사 홈페이지를 통한 앱 배포는 위변조공격에 취약하고, 보안수준의 강하를 요구하므로 문제가 있다고 생각해 금감원에 민원제기.
 
3) 이에 대한 금감원의 답변은 '귀하의 의견을 향후 스마트폰 보안 감독 방향에 참고할 예정입니다'라고 함.
 
4) 뭔가 민원에 비해 짧은 답변에 오해가 있다고 여겨져 담당 조사역님께 전화.
  4-1) 기술적인 내용은 법령이나 규정으로 정할 수가 없어 가이드라인을 제정하여 준수할 것을 권고 정도하고 있는 상황.
  4-2) 금감원에서 해당 내용을 전송했으나 산업은행은 '플레이스토어는 유사 위변조앱에 노출될 가능성이 높아 안 올린다'고 했다고 함.
  4-3) 금융보안원(구. 금융보안연구원)에서 각 시중은행에게 내놓은 '스마트폰 전자금융서비스 보안 가이드'(링크 참고)는 통신사 앱스토어 및 구글 앱스토어를 통해 스마트뱅킹앱을 배포할 것을 권장하고 있음.
 
5) 결론 : 지금으로서는 어떻게 이것을 당장 개선할 방법이 없습니다.
 
 
1. 배경
 
현재 산업은행은 안드로이드 스마트뱅킹앱을 자사 홈페이지와 통신사 앱스토어를 통해 배포중입니다.
이 중 자사 홈페이지를 이용하여 설치를 장려하는 것이 보안상 문제가 있다고 생각되어 금융감독원에 민원을 넣어보았습니다.
 
 
2. 민원내용
 
7월 20일자로 금융감독원에 아래와 같은 민원을 넣었습니다.
 
============================================
현재 KDB산업은행의 안드로이드 OS용 스마트뱅킹은 설치파일은 자사 모바일페이지에서 직접 다운로드하도록 하고 있습니다.



안드로이드 OS의 경우, 구글의 플레이스토어나 각 통신사의 스토어가 아닌 다른 곳에서 내려받은 설치파일(apk)을 설치할 경우 보안기능 중 '알 수 없는 출처의 앱 설치 제한'을 해제하여야 합니다.



해당 기능은 인증되지 않은 스토어에서 받은 앱 설치를 막음으로서, 최근 문제가 되고 있는 피싱 혹은 파밍과 같은 금융사고를 방지하는 순기능을 수행하고 있습니다. 산업은행의 안드로이드 OS용 스마트뱅킹앱에 대한 현재의 정책은 스마트폰에 밝지 않은 사용계층으로 하여금, 자체의 보안기능을 해제하도록 유도하여 사고에 노출될 가능성을 높이고 있습니다.



더불어 통신사 스토어 혹은 구글 플레이스토어가 아닌 자체 홈페이지에서 받도록 하는 것은, 변조된 URL을 이용한 공격에 노출되어 있습니다. 만약 스마트 기기에 밝지 않은 사람인 경우, 해당 홈페이지가 진짜 산업은행의 홈페이지인지 아니면 위변조된 홈페이지인지 구분할 수 없어 금융사고로 이어질 공산이 큽니다.



산업은행의 해당정책은 스마트뱅킹 처음 도입된 2010년대 초부터 계속되어오고 있습니다. 다른 은행들이 모두 구글 플레이스토어에 자사의 스마트뱅킹앱을 등록하여 공식적인 루트에서 받도록 유도하고 있는 가운데, 왜 유독 정책금융기관인 산업은행만 이토록 위험한 방식을 고수하고 있는지 의문입니다.



스마트폰을 통한 전자금융사고가 나날이 증대되어 있는 가운데, 금융기관이 기본을 준수하여 이용자들을 보호할 수 있도록 금융감독원이 적절한 조치를 시행하여 주시기를 부탁드립니다.
============================================
 
 
3. 답변 내용
 
보통 처리에 일주일 정도 걸린다는데 저는 8월 초가 되어서야 아래와 같은 답신을 받았습니다.
 
============================================
1. 2015. 7. 21. 우리원에 접수된 귀하의 민원에 대한 회신입니다.



2. 귀하께서는 모바일 뱅킹 앱을 공식 앱 배포처를 통해서 배포하지 않을 경우, 이용자 스마트폰의 보안 수준을 낮게 설정 변경해야만 다운로드가 가능함을 지적하고 스마트폰 보안을 위해 모바일 뱅킹 앱은 공식앱 배포처를 통해서만 배포하도록 제안하셨습니다. 모바일뱅킹 앱을 위장한 악의의 앱으로 인한 피해를 방지하기 위해 일부 금융회사는 회사 홈페이지 등을 통해 배포하고 있습니다. 제안하신 내용은 향후 스마트폰 보안 감독 방향에 참고할 예정입니다.



3. 건전한 전자금융질서 확립을 위한 귀하의 깊은 관심에 감사드립니다. 끝.
============================================
 
 
4. 추가 문의
 
분명히 URL 위변조를 통한 보안위협도 있다고 민원에 넣었던 것 같은데,
'피해를 방지하기 위해 회사 홈페이지 등을 통해 배포하고 있다'는 답변이 왔습니다.
 
뭔가 오해가 있는 것 같다는 생각이 들어, 조사를 담당하신 선임조사역님께 전화를 걸었습니다.
통화는 대략 이렇게 이뤄졌습니다.
 
============================================
나 : 7월 20일에 산업은행 스마트뱅킹앱 관련해서 민원 넣은 사람이다. 기억하시는지. 민원 답신을 받았는데 좀 부족하다고 여겨져서 전화 드렸다.
 
조사역님 : ㅇㅇ 말해봐라.
 
나 : 현재 상황에 두 가지의 문제점이 있다고 지적했었다. 하나는 스마트폰의 보안기능 해제를 요구하고 있는 것, 다른 하나는 홈페이지 URL 변조를 통한 보안위험의 존재였다. 실제로 공유기의 취약점 등을 이용하여 네이버 등의 URL를 입력하여 접속하면 가짜 홈페이지로 유도해 보안카드 번호를 요구하는 피해 사례가 있었다. 그런데 '피해를 방지하기 위해 홈페이지를 통해 배포하고 있다'고 답변한 것을 보니 내가 민원을 명확히 작성하지 못한 모양이다.
 
조사역님 : 아니다. 두 내용 모두 알고 있다. 이와 관련하여 산업은행에도 전달하였다.
 
나 : 산업은행은 iOS용 뱅킹앱의 경우 애플 앱스토어를 통해 배포한다. 이것은 iOS의 정책상 어쩔 수 없어 그럴 것이다. 반면 안드로이드용 앱의 경우 설치 경로가 열려 있다는 점 때문인지 자사 홈페이지를 통해 배포하고 있다. 이것은 지적한 바와 같이 보안수준의 강하를 요구하고 있는데, 문제가 있는 것 아닌가?
 
조사역님 : 산업은행은 애플 앱스토어에 비해 구글 플레이스토어의 앱 검수가 취약하다는 점을 들어, 위변조 앱이 플레이스토어를 통해 설치될 수 있어 자사 홈페이지를 통해 배포하고 있다고 알려왔다.
 
나 : 하나만 묻자. 산업은행보다 큰 우리, 하나, 국민은 구글 플레이스토어를 통해 자사 뱅킹앱을 배포하고 있다. 산업은행의 말이 맞다면, 산업은행보다 규모가 크고 앱 사용빈도가 높은 이 3개 은행 사용자들이 피해에 노출될 가능성이 더 높을 것이다. 그렇다면 이 3개 사 역시 산업은행과 같은 의사결정을 하는 것이 합리적이라고 생각한다. 그러나 실상은 그렇지 않다. 이에 비춰보면 산업은행의 답변이 지나치게 궁색하다고 보인다.
 
최근 문제가 되고 있는 국정원 RCS 논란을 비롯하여 이미 문제가 된 스미싱 사례는 이 '출처를 알 수 없는 앱 설치'를 허용할 경우 그 가능성이 더 높아진다. 이에 대해서는 잘 알고 계실 것이라 생각한다. 그런데 은행 차원에서 사용자들에게 이 기능을 끄도록 유도하는 것은 분명히 보안 위협을 높이는 일 아닌가? 이에 대해 산업은행에 즉각적인 시정을 요구해야 한다고 보는데.
 
조사역님 : 사실 이에 관하여 금융감독원 차원의 어떠한 정식적인 코멘트가 금융기관에 전달된 적은 없다. 기술적 부분이기 때문에 법령이나 규정으로 제정하기도 어렵다. 다만 가이드라인을 만들어 준수를 권고하고 있다.
 
나 : 가이드라인이 존재한다는 말인가?
 
조사역님 : 그렇다. 보안연구원에서 '14년 7월에 각 시중은행에게 배포한 가이드라인이 있다. 가이드라인을 보면... 뱅킹앱은 공식 앱스토어(플레이스토어와 통신사 앱스토어)를 통해 배포하도록 권고하고 있다.
 
나 : 그렇다면 자사 홈페이지를 통해 버젓이 배포하고 있는 산업은행은 이 가이드라인을 지키지 않고 있다는 말인지?
 
조사역님 : 그것에 대해서는 명확히 말씀드리기 어렵다. 산업은행 측과 직접 연락하신 적은 있는가?
 
나 : 그런 적은 없다. 나는 당연히 감독의무가 있는 기관에서 먼저 이 사실을 알아야 한다고 생각했다. 어쨌든 알았다. IT 관련 커뮤니티에 올려서 의견을 수렴한 후 향후 대응방안에 대하여 다시 한 번 생각해보겠다. 감사하다.
============================================
 
 
5. 결론 및 고백(?)

 
결 론은 상기 요약에도 적었듯, 지금 당장 손쓸 방법은 없다는 것입니다. 이것을 어떻게 해야 한다는 내부적 사례는 아직 금감원 내에 존재하지 않는 것으로 보입니다. 또한 산업은행은 통신사 앱스토어를 통해 배포하고 있기 때문에 (비록 플레이스토어에는 없지만) 금융보안원의 가이드라인을 준수하지 않고 있다고 말할 수도 없는 상황입니다.
 
우선 제가 이 민원을 넣었을 당시, 유플러스 스토어에서 산업은행 앱을 검색할 수가 없었다는 점을 말씀드려야 할 것 같습니다. 따라서 통신사 앱스토어에서도 산업은행 앱을 설치할 수 있다는 점을 고려하면, 이미 이 민원의 초점인 '자사 홈페이지를 통해서만 설치할 수 있는 문제'는 이미 어긋났다고 봐야 할 것입니다.
 
그럼에도 불구하고, 통신사앱의 이용빈도가 플레이스토어에 비해 현저하게 낮다는 점과 더불어 몇몇 외산폰의 경우 통신사앱의 설치가 어렵다는 점을 감안하면 모든 전화기가 이용할 수 있는 플레이스토어에도 업로드를 하는 것이 보편성의 측면에서 더 타당하다고 여겨집니다. 그래서 이 뻘글을 사용기게시판에 한 번 올려봅니다.