스마트폰 뱅킹서비스 확산... 보안 대책은 미흡
국내 출시 100일만에 40만여대가 판매된 아이폰을 시작으로 스마트폰 시대가 활짝 열리며 일반 개인은 물론 기업·정부 할 것 없이 스마트폰 도입에 앞장서고 있다. 이에 따라 금융권에서도 다양한 스마트폰 뱅킹 서비스를 제공하고 있지만 보안 문제 해결이 선행돼야 한다는 지적이 나오고 있다.
◇ 앞서가는 스마트폰, 뒤쳐지는 스마트폰 뱅킹 보안
특히나 ‘IT강국‘답게 금융거래의 80%이상을 인터넷뱅킹과 폰뱅킹을 통해 처리하고 있는 우리나라의 경우 그 수요가 자연히 스마트폰으로 옮겨가며 보안의 허점이 더욱 부각된다.
한국거래소에 따르면 스마트폰을 이용한 모바일트레이딩 거래는 전체 거래의 약 0.3%. 아직 스마트폰 금융거래 서비스를 오픈한 금융기관이 소수에 한정되어 있다는 점을 고려한다면 간과할 수 없는 수치이다.
현재 스마트폰 뱅킹 서비스를 제공하는 은행은 기업은행과 하나은행, 신한은행 총 3개 은행이며, `국민은행, 우리은행, 외환은행’을 포함한 16개 시중 은행은 현재 금융결제원과 공동으로 스마트폰 뱅킹 시스템을 개발 중으로 4월 중 정식 서비스를 오픈할 예정이다.
이처럼 스마트폰 뱅킹 서비스 출시에 모든 은행이 사활을 걸고 있음에도 불구하고, 스마트폰 금융거래에 적용되어 있는 안전장치는 공인인증서뿐이다. 인터넷 뱅킹에서 공인인증서는 물론 방화벽, 키보드 보안 등의 여러 가지 보안방안이 적용되어 있는 것과는 대조적이다.
◇ 편리함은 물론 보안까지 잡은 '스마트'한 스마트폰 요구
스마트폰은 또 `원스톱 생활 밀착형 기기’로 진화하며 업무영역까지도 진출하고 있어 주요국가기관에서 보유하고 있는 국가기밀자료나 기업 내의 핵심기술 등 중요 정보가 유출될 위험도 갖고 있다.
지난 2월, 직원 업무용으로 스마트폰의 대대적인 도입을 검토했던 청와대가 보안문제로 인해 스마트폰 도입을 연기한 것이 그 예다.
이처럼 스마트폰 보안에 대한 우려의 목소리가 커지고 있음에도 불구하고 이에 대응한 보안방안이 잘 마련돼 있지 않은 이유는 큰 이유는 기존의 인터넷뱅킹 보안 프로그램은 MS 윈도와 인터넷 익스플로러를 이용하는 PC환경에 적합하도록 적용돼 있었으나 스마트폰의 경우 기기 별로 적용된 OS가 상이하기 때문에 보안 적용에 걸림돌이 되고 있다는 것이다.
아이폰의 경우 두 가지 이상 프로그램이 동시에 가동되는 '멀티태스킹'이 지원되지 않기 때문에 해킹이나 바이러스에 노출될 가능성이 적다는 것이 해당은행과 제조사 측 설명이다. 하지만 2009년 순정 폰(None Jail Breaking) 상태의 아이폰에서 보안 결함이 40개 이상 발견, 완벽한 보안을 보장하지 못한다는 점을 보여줬다.
해당 취약점에 대해서 애플에서 공식적인 패치를 진행했으나 향후 새로운 보안위협에 대한 대응책이 필요한 상황이다.
구글 안드로이드의 경우 개방형 OS이기 때문에 누구나 원한다면 소스를 볼 수 있어서 보안에 대한 우려가 많다. 애플리케이션 검증 절차가 없어 악성 프로그램이 등록될 가능성이 높은 것 또한 보안취약점으로 지적된다.
심비안(노키아 OS)의 경우 2005년 개발자 인증과 응용 프로그램 전자서명을 받는 `코드 사이닝’을 도입한 후 악성코드가 크게 감소했다고는 하지만 현재까지 보고된 누적 악성코드 수만 무려 400여개에 달한다.
아직 국내에서는 스마트폰 해킹에 의한 피해사례가 보고되지 않았지만 지난해 11월 영국에서는 아이폰을 이용하여 인터넷 뱅킹에 접속하는 사용자를 대상으로 피싱을 유도한 사례가 발견됐다.
◇스마트폰 전용 보안 제품도 속속 출시
스마트폰 보안에 대한 이슈가 증가함에 따라 보안업체에서는 스마트폰 전용 보안제품을 속속 출시하고 있다. 특히 스마트폰을 이용한 금융거래가 빈번해짐에 따라 스마트폰 뱅킹 보안 제품의 출시가 두드러지고 있다.
정보보호업체인 소프트캠프는 최근 스마트폰 입력보안제품 '시큐어터치'를 출시했다. 스마트폰을 통해 입력되는 개인정보 유출 위험을 근본적으로 차단하고, 안전한 스마트폰 금융거래 환경을 지원한다는 게 회사측 설명이다.
시큐어터치는 자물쇠 형태에서 아이디어를 얻어 구현된 제품으로 숫자 단순 터치방식이 아닌 멀티터치방식을 채용했다. 이를 통해 키패드를 통한 입력 보안 방식이 갖고 있던 좌표 값 캡쳐를 통한 정보 유출 위협이나 무작위로 생성된 키보드 배열에 따른 사용자 혼란을 방지한다는 설명이다.
소프트캠프 관계자는 “아이폰 출시를 기점으로 본격적으로 형성되기 시작한 국내 스마트폰 시장의 규모가 확대됨에 따라 보안에 대한 이슈가 대두되고 있다”며 “현재 스마트폰 입력보안 제품인 시큐어터치를 출시했고 곧 모바일 문서보안 제품도 정식으로 출시할 예정”이라고 밝혔다.
이 외에도 소프트씨큐리티, 잉카인터넷 등에서 스마트폰 입력 보안 제품을 출시했다. 스마트폰 백신은 안철수 연구소가 이미 출시했고 미국계 업체 시만텍은 연내 출시 할 예정이다. 또 나우콤은 보안위협경보서비스를, 하우리는 무료 백신을 아이폰 앱스토어에 등록한 바 있다.