“금융앱스토어”라는 코미디

4월8일 금융위원회는 안드로이드폰, 블랙베리, 윈도우모바일 폰 사용자들은 앞으로 스마트폰 금융거래를 위한 앱을 “금융앱스토어”에서만 내려받도록 하겠다고 발표하였습니다. 금융위원회는 아마도 금융결제원과 미리 이야기를 해뒀나 봅니다. 오늘 금융결제원은 금융앱스토어 페이지를 열었습니다. 관련 보도는 여기

금융앱스토어 페이지 주소는 www.fineapps.co.kr 입니다.

PC로 접속하면, 해당 페이지는 자동으로 https 접속을 하게 됩니다. 따라서, 파이어폭스 웹브라우저에서는 “이 페이지는 믿을 수 없는 페이지인데 그래도 접속하겠습니까?”라는 다음과 같은 보안경고가 큼지막하게 표시됩니다.

fineapps-untrusted

무시하고 “그냥 진행”하라는 말인지요? 마치 “이 프로그램은 당신 컴퓨터에 해를 끼칠 수 있습니다”라는 보안경고를 무시하고 “그냥 설치”를 누르라고 끊임없이 안내하던 그 버릇 그대로…

이런 경고가 뜨는 이유는, 이 사이트가 국내 공인인증기관이 발급한 SSL서버인증서를 사용하기 때문입니다. 한국내에서만 통하는 공인인증기관을 파이어폭스는 믿어주지 않습니다. 주요 브라우저 중 하나가 안 믿는(untrusted) 서버인증서? 그런 서버인증서를 설치해 둔 웹사이트는 제정신이 아니라고 봐야겠죠.

더 재미있는 것은, 모바일에서 www.fineapps.co.kr을 접속하면, https로 전환되지 않는다는 점입니다. 스마트폰에 앱을 설치하려는 이용자가 굳이 PC로 접속해서 스마트폰앱을 내려받을 이유는 없을 것입니다. 주로 스마트폰으로 접속할 것인데, 이때에는 아무런 보호장치 없이 서버의 신원을 전혀 확인할 수 없는 HTTP접속을 하게 해두었습니다.

fineapps-http

공격자가 이 페이지를 가장하여 악성코드를 담은 앱(.apk)을 나눠주기 딱 좋도록 되어 있습니다.

가장 황당한 부분은, 이렇게 다운로드 받은 “금융앱스토어”라는 앱을 유저가 자신의 안드로이드 폰에 설치하려면, “알 수 없는 소스에서 앱설치 허용”을 선택해야 한다는 것입니다. 사실 안드로이드 폰에서 이것을 허용하는 것이 가장 큰 위험에 유저를 노출하는 행위인데, 바로 이렇게 하도록 유저를 유도하는 것입니다.
unknown-source

국민은행 등 일부 국내 은행들은 자신의 스마트폰 뱅킹 앱을 그냥 apk 파일로 고객들에게 나눠주면서, “알수없는 소스”에서 마구 앱을 설치할 수 있도록 스마트폰 설정을 위험하게 바꾸라고 안내하는 “해괴한” 일을 하고 있습니다.
kbstar-un-known-source

이런 짓부터 좀 그만하는 것이 고객의 안전을 위하는 일입니다. 그런데 이제 금융위원회와 금융결제원은 일부 은행의 이런 해괴한 짓을 아예 본격적으로 모든 은행을 대신하여 감행하고자 하는 것입니다.

“알 수 없는 소스”를 체크 하지 않았더라면 아무 피해 안봤을 고객이 금융위원회와 금융결제원이 강요한 “금융앱스토어”를 설치하느라 자기 폰을 무방비 상태로 열어두어 사고를 당하면 금융위원회와 금융결제원이 배상해 주는 것이 옳다고 생각합니다. “공인인증서는 안전하다”면서 은행과 보안업체편을 들고 나서서 결국 소비자에게 책임을 지우는 판결이 나오도록 유도하는 짓은 이제 좀 그만하고요.

적어도, 설치 후에는 “알 수 없는 소스”를 다시 uncheck하라는 안내라도 좀 하세요, 제발…

금융위, 금감원, 금결원만 없었더라도 한국의 스마트폰 보안은 훨씬 덜 위험해졌을 것이라는 생각이 들게 만드는군요.

오픈넷

금융위/금감원에 정중히 항의하기: https://openweb.or.kr/fsc/161

관련 글:
금융앱스토어 관련 질의
금융앱스토어에 대한 ‘금융위원회’ 보도자료?
‘허점투성이 금융앱스토어’… 해킹 위험에 더 노출 (전자신문, 3월24일자 보도)