티스토리 뷰

Web

금융앱스토어?? 뭐하는 짓이죠??

taehwan 2013. 4. 27. 10:08
728x90

 지난 일주일 금융위원회에서 요란한 행동을 했습니다. 아니 바보 같은 일이죠. "내 집의 보안을 CCTV로 해결해줄 태니 방문을 항상 열어둬라!" 많이들 아시거나 모르실 수 있습니다. 금융위원회에서 금융 어플(은행 어플)을 설치하려면 자신들이 만든 금융 앱스토어라는 것을 활용하여 앱을 설치하라는 것이였습니다. 아직 타 은행들의 앱이 구글 Play store에서 내려가지는 않았습니다.

 뭐가 문제인지 대안은 없는 것인지 초짜 블로그가 글을 작성해보려고 합니다.


금융 앱스토어를 통한 앱을 설치한다??

 이 금융 앱스토어는 구글 Play에 올리려고 했지만 실패하였다고 합니다. 구글 Play에는 자기들과 비슷한 앱스토어를 올릴 수가 없습니다. 그래서 네이버, Tstore, 올레 마켓 등 모두 올라가있지 않습니다. 올레마켓은 링크를 가진 앱이 하나 올라가있긴합니다.

 그럼 어떻게 받을 수 있을까요? 웹페이지를 별도로 제공한다고 합니다. 아래 홈페이지들이 바로 금융 앱스토어 홈페이지입니다. 홈페이지의 문제가 뭘까요? 이건 아래에서 다시 이야기해보죠.


 안드로이드 크롬브라우저에서 접속했습니다. https:// 가 보이긴 합니다. 근데 웹뷰에서는 https를 지원하지 않는다고 하더군요.

 아래 내용에 잘 보시면 "알 수 없는 출처"를 열라고 합니다. 그리고 설치후에 다시 닫으라고 합니다. 처음 접하시는 분들이 과연 다시 닫을 까요?? 그리고 경로를 잘 보시면 설정 > 보안 입니다. 이 보안을 열고! 앱을 설치하라니.. 금융앱이 그래도 될까요? 정식 사이닝된 앱을 올리는 것도 아닌 개발자 사이닝을 올려두고 앱을 설치하라고 합니다. 이게 편하긴 합니다. 안드로이드 설치용 .apk 파일만 가져오면 되니깐요.

 24시간 사이트를 감시한다? 말이 쉽죠. 요즘 해킹이 엄청 빈번하게 일어나고, 쉽게 뚤리고 있습니다. 구글이라고 해킹의 위협이 없다곤 할 수 없습니다. 하지만 이 fineapps.co.kr 홈페이지 서버가 개인 PC 1대인지 보안이 철저한 은행의 건물에 있는지 알길은 없습니다. 운영하는 당사자만 알겠죠. 만약 1대의 PC에 돌리는 것이라면 문제는 심각합니다. 해킹하면 바로 뚫어서 기존의 모든 apk 파일들 교체작업만 해주면 끝이나는 것이죠. 얼마나 보안적으로 안전한지 궁금합니다. 그리고 홈페이지로 했다라... 

 

윈도우에 설치된 크롬, 파이어폭스, IE에서 실행한 화면입니다.

 뭔지 몰라도 일단 크롬은 보안 프로그램을 설치하라고 합니다. apk 파일 다운받는데 보안프로그램을 설치하라고 합니다. 그리고 잘 보시면 업데이트라는 문구가 있습니다. 거기다 은행마다 추가로 제공하는 앱들까지 보입니다. 


생각보다 다운로드수가 많습니다. 404건


파이어폭스는 접근을 할 수가 없습니다. 인증서가 안전하지 않다는 내용이군요.


이번엔 IE입니다. IE에서 홈페이지가 정상으로 보입니다. 그리고 ActiveX control이 보입니다. 뭘 또 설치하라는 건지...



웹페이지의 위험성

 은행사이트들이 최근까지도 피싱사이트를 차단하지 못하고 있습니다. 계속 터지는 것이죠. 홈페이지도 안전하진 않습니다. 은행앱도 안전하지 않습니다. 안전을 생각한다면 은행에 직접 찾아가서 업무를 봐야할까요?? 은행조차 컴퓨터를 사용하고, 전자금융을 사용합니다. 안전한것을 찾는다면 제가 생각하기엔 땅에 돈 묻어두는게 가장 안전해보입니다. 뭐 2013년에 이런이야기는 할 수 없습니다.^^;; 모두 인터넷을 활용하니깐요. 최소한의 안전장치를 마련해야 하는것이죠. 금융위에서의 안정장치는 바로 금융 앱스토어였습니다. 근데 뭐가 문제인걸까요? 이 안정 장치의 생각은 자신들이 직접 금융어플들의 위치를 알려주겠다! 입니다. 근데 정식 사이닝이 되지 않은 개발자 사이닝을 가진 앱들입니다. 이 개발자 사이닝이 된 앱들의 문제는 바로 아래에 있습니다.


 우선 안드로이드에서 "알 수 없는 소스코드 설치 허용"의 위치가 어디인지 살펴보겠습니다.

설정의 보안탭으로 이동합니다.

 2.3대까지만해도 이 "알 수 없는 소스"는 애플리케이션의 개발탭에 있었습니다. 구글에서도 처음에는 이 옵션을 개발자들을 위해서 추가해둔것이지만 2.3 이후부터는 보안탭으로 이동하였습니다. 이걸봐도 휴대폰 보안에 심각한 영향을 미칠 수 있다는 것을 알 수 있습니다.


 "알 수 없는 소스코드"를 선택하면 개발자 사인(인터넷에서 막 다운 받은 프로그램)을 사용할 수 있습니다.


 실행하면 아래와 같은 메시지가 보이게 됩니다. "휴대전화의 개인정보가 외부로 빠져나갈 수 있다"라는 메시지가 보이게 됩니다. 이말은 금융 앱스토어에서 24시간 철저히 감시를 하든안하든 저 apk 파일이 해킹을 당해 수정을 당해진다면 사용자의 개인정보는 안전하지 않을 수 있다는 것입니다.


 중요한 것은 금융위에서 말하는 것이 하나 더 있습니다. 구글 플레이에 등록된 앱이더라도 위 변조가 된 앱이 있을 수 있다.! 그래서 우리가 이런걸 만들었다. 실적 쌓기도 아니고 무슨 생각으로 하는것인지 모르겠군요. 구글 플레이에서 아직 은행앱을 위 변조한 은행앱들은 없었습니다. 구글 플레이에서 은행을 검색하면 아래와 같이 잘 보입니다. 아래 보이는 페이지의 은행 어플들은 모두 정상적인 파일들입니다. 저도 여기에 있는 어플 만을 다운받아 사용중입니다.


 농협은 오래전부터 어플을 올려서 사용자들에게 제공하였습니다. 이후 다른 은행들도 하나둘 올리기 시작했습니다. 최근에 국민은행앱도 등록되어 있는 모습입니다. 이렇게 정확한 데이터들을 금융위에서 링크를 걸어준다면 몰라도 지금과 같은 apk를 다운받아 설치를 하게하는 방식은 문제가 많이 있습니다.

 위에서 말했듯이 은행 사이트도 피싱사이트에 안전하지 않아서 개인사용자가 보안키의 번호를 몽땅입력하여 해킹당하는 사고가 많습니다. 일반 사용자가 과연 이걸 알고 적을까요? 오 여기 은행 아이콘이 있네. 그럼 믿고 입력하는 것이지 url 1자 다르다고 그걸 알아 볼 수 있을까요??

 이미 금융위에서 만든 홈페이지는 아래와 같이 피싱사이트(?)의 항의성 글을 개제한 홈페이지가 존재합니다. 실제로 다운로드는 불가능합니다. 1글자 다른걸 알아볼 수 있는 사람이 몇이나될까요? 특히나 검색엔진을 통해서 검색해서 접속한다면요.

 24시간 감시를 한다고해도 이렇게 1자의 url을 바꺼서 피싱사이트를 만드는데 금융위도 몰라보는데 사용자라곤 알아볼 수 있는 것인지 궁금합니다. 24시간 감시체제를 하느니 은행 어플을 모두 구글 플레이에 올리고, 이를 정확한 링크를 걸어서 사용자에게 제공해주는 방식이 최고 안전한 방법이 아닐까 생각합니다.

 스마트폰에 은행사 17개의 어플을 미리 심어놓는 이상한 짓을 생각하지 말구요. 결국 이 방법도 사이닝이 안되었다면 위와 같은 똑같은 짓을 해야하며, 이것역시 피싱될 가능성이 있습니다.


마무리

 이런 피싱되는게 문제라면 그거에 맞는 정책을 내놓아야지 무조건 강제로 어플을 심는다니, 우리가 새로 만들었다드니 하는 건 불필요하다는 생각입니다. 아니 세금을 받고 일하는 사람들의 머리에서 나오면 안된다는 생각입니다. 계속 여론이

안좋아지면 앱을 확인하는 백신도 탑제할까 무섭습니다. 누군가에겐 눈에 보여야 하는 정책을 내놓는건 여전합니다. 이미 구글 플레이에 수 많은 은행 어플들이 존재하는 이 시점에서 왜 이딴 정책이 필요한지 궁금합니다. 제발 링크앱만들어서 올려놓길 바랍니다. 이상한곳에 돈 쓰지말고!!!!!!!!




댓글