“금융위원회 공식블로그”라는 이름의 네이버 페이지에 오늘자로 “금융앱스토어”라는 내용이 게시되었습니다. “공식블로그”라는 페이지에서는 이것을 “금융위원회 보도자료 및 해설/금융위원회 정책뉴스”라고 분류하여 제시하고 있습니다. 해당 페이지 주소는 http://blog.naver.com/blogfsc/50170148261 이고, 스크린 샷은 아래와 같습니다.
우선, 게시된 내용부터 간단히 보겠습니다.
1. 통합적으로 운영되는 금융앱스토어라는 서비스는 피싱 위험에 노출된다는 지적에 대하여, 다음과 같은 ‘해명’이 제시되었습니다:
“피싱사이트 출현에 대한 위협은 비단 금융앱스토어 서비스만의 문제가 아닌 모든 인터넷 환경에서의 금융서비스가 가지고 있는 위협요인입니다”
이 분들이 아직도 이해를 못하는 점은, 개별 은행 사이트 피싱 위협에 비교할 때, 이렇게 ‘통합적’으로 운영되는 사이트에 대한 피싱이 더욱 더 기승을 부리게 된다는 점입니다. 공격자가 각 은행 사이트 마다 피싱하는 노력을 들일 필요없이, “하나만 뚫으면” 모든 금융기관 고객들에게 쉽게 접근할 수 있도록 도와주는 것이지요.
2. 이런 ‘해명’도 있습니다.
“보안이 강화된 스토어를 만들어 금융앱을 제공하기 위하여는 사용고객이 환경설정 메뉴에서 “알 수 없는 출처” 다운로드 허용을 체크 하여야만 설치가 가능하게 되어있습니다”
“보안을 위해서 보안을 해제하라”는 황당한 주문은 그동안 PC에서도 워낙 많이 들었던지라, 뭐 새로울 것도 없을 지경입니다. 대략 이게 “한국형 보안”이지요. “우리 서비스 이용하려면 너 컴퓨터 활짝 열어제껴!” “그러다 문제가 생기면? 그거야 너 책임이지!”
더 황당한 것은, “금융앱스토어 앱 설치완료 후에 고객에게 ‘알 수 없는 출처’ 허용체크를 해제하도록 권고하고 있습니다”라고 주장하고 있다는 점입니다. 그러나, 안드로이드폰으로 접속하여 금융앱스토어 앱을 자신의 폰에 설치하는 이용자에게는 어디에도 이런 권고가 아예 없습니다. 이 권고가 어디엔가 꽁꽁 숨겨져 있기는 합니다(스마트폰 이용자는 결코 찾을 수 없는 곳). 한번 찾아보시죠 ㅎㅎㅎ
3. “금융앱스토어”라는 것도 ‘앱’의 일종입니다. 그 앱을 구글 플레이 스토어에 정식으로 등록하면, ‘알 수 없는 소스’를 허용하라는 괴상한 요구를 안해도 되는데, 어째서 이러고 있는지가 정말 궁금했습니다. 그 대답이 있네요:
“금융앱스토어 앱은 당초 “구글Play”를 통하여 배포하고자 구글과 협의하였으나 구글정책상 등록이 불가하다는 입장을 전달받았습니다.”
구글이 리젝트한 앱을 이제는 ‘야메’로 나눠주고, 어째서 리젝트 당했는지 설명도 안하고 소비자에게 ‘알 수 없는 소스’를 허용하고 설치하도록 요구하는 것이 과연 한 나라의 정부가 할 일인가요?
4. 스마트폰 출시 시점부터 아예 기본탑재하려 한다는 내용도 있습니다:
“스마트폰 출시시 금융앱스토어 앱을 기본적으로 탑재(임베디드)하고 OS상에서 조치하는 기능을 제조사 등과 협의하여 진행하고 있습니다.”
국내에서 판매되는 스마트폰에는 백신을 기본탑재할 뿐 아니라, 아예 활성화된 상태로 판매하도록 하겠다는 방통위의 마찬가지로 황당한 정책이 생각나게 만드는 내용입니다. 국내에 판매되는 전세계 스마트폰 제작사들의 기기에 어떻게 이런 정책을 금융위(금결원인가요?)가 관철할지 두고 봐야 할 듯.
“실으라면 실어” 뭐 이런 건가요? 아니면 삼성, LG는 옳다구나 하면서 “금융앱스토어 기본탑재 안된 스마트폰은 국내 시판 금지”해 주세요, 아이폰, 블랙베리, HTC, 소니에릭슨, 모두 모두다요… 라고 맞장구를 칠지도 두고 봐야겠네요.
5. 금융앱스토어의 위험을 지적하는 오픈넷이나, 피싱위험을 알리는 예제 사이트를 만드신 어느 유저분의 노력에 대해서는, 다음과 같이 평가하시는 군요
“금융앱스토어 서비스의 순기능을 고려하지 않고 자의적이고 보편적인 문제점을 금번 금융앱스토어 서비스 시행에 특별히 부각 시켜 유사사이트 등을 개설 확산시키는 불건전한 행위는 일반스마트폰 이용고객에게 큰 혼란을 초래할 소지가 있습니다.”
“불건전한 행위”? 아예 “종북세력”이라고 하시지 그러세요? 아무도 이런 경고를 해주지 않으면 “소비자에게 혼란이 초래되지 않는다”고 생각하시나 본데, 실은 별 혼란 없이 조용히 피싱당하는 소비자들이 마구 생겨나겠지요.
내용은 이게 전부입니다. 그런데, 정말 납득이 안가는 부분은 마지막 문장입니다:
금융위원회 “공식블로그”의 보도자료 및 정책뉴스라면서, 어째서 ‘금융결제원’의 해명 문건을 게시하고 있나요? 금융결제원은 지로(GIRO) 지급결제 서비스를 제공하는 결제대행업체입니다(공인인증 사업도 겸업). 즉, 금융위원회와 금융감독원의 규제와 감독을 받는 피감기관 중 하나입니다.
한 나라의 전자금융거래 안전을 책임지겠다는 금융위원회가, 자신의 규제와 감독을 받고 있는 어느 한 업체가 자신의 돈벌이를 위한 솔루션(금융앱스토어의 ‘수익모델’에 대해서도 분명히 밝힐 필요가 있습니다만)을 옹호하기 위하여 만든 해명 문건을 “금융위원회 공식블로그”에 “정책뉴스”라고 올리는 이런 일이 어떻게 벌어질 수 있는지, 더 이상 할 말이 없군요.
이쯤 되면, 막하자는 것이지요.
금융위/금감원에 정중히 항의하기: https://openweb.or.kr/fsc/161
진짜 개그중 하나는 대부분의 금융앱들은 루팅폰에서 실행자체를 막고 있는데 알 수 없는 소스는 체크 해제는 루팅만큼이나 위험한 것인데, 정작 루팅폰은 보안 운운하면서 막고 알수 없는 소스는 보안을 위해서 해제하라는 개그겠죠. 아 PC 환경에서 UAC 해제하라는 안내는 덤이고요.
금융위 공무원은 “금융앱스토어”의 문제점이 뭔지를 이해할 능력 자체가 없고, 제3자에게 부탁하여 그 서비스 장단점을 검토받을 생각도 못하고, 그저 납품업체(금결원)에 매달려 “AS”해 달라고 떼쓰는 모양세.
금융위 해명자료를 금결원이 대필하는 셈.