금융앱 25개중 10개 위조 탐지 못해

4일 서울 용산구 사이버 보안회사인 스틸리언 사무실. 국내 A 송금 애플리케이션(앱)의 소스코드를 열었더니 ‘현재 등록된 카드가 없습니다’ 등의 문구가 바로 보였다. 소스코드를 읽지 못하게 하는 ‘난독(難讀)’화 기술이 적용되지 않았다는 뜻이다. 박찬암 스틸리언 대표는 “이 소스코드를 분석해 앱이 카드를 인식하는 원리를 파악하면, 남들의 카드 정보를 빼내거나 카드를 등록하지 않고도 결제를 하는 등의 해킹 시도를 할 수 있다”고 말했다.

동아일보가 4일 스틸리언에 의뢰해 국내 시중은행 등의 금융 앱 25곳의 해킹 방지 수준을 분석한 결과 보안이 허술한 것으로 드러났다. 최근 모바일 금융거래가 급증하면서 금융 앱이 쏟아져 나오면서 해킹에 악용될 수 있다는 우려도 커지고 있다.

스틸리언은 대표적인 해킹 방지 기술인 소스코드 난독화와 위·변조 탐지 여부를 살펴봤다. 실험 대상 앱은 은행 앱 2개와 송금·간편결제 앱 8개, 카드 앱 1개, 구글 플레이스토어에서 △대출 △P2P(개인 간 거래) △크라우드펀딩 △자산관리 △비트코인을 검색해 상위에 노출되는 앱 25개로 정했다.

분석 결과 조사 대상 25개 앱 중 8개는 소스코드 난독화가 전혀 돼 있지 않았다. 이 중엔 공공기관이 운영하는 앱도 들어 있었다. 4개는 구글에서 개발자들에게 무료로 배포하는 수준의 ‘비교적 쉬운’ 난독화 체계를 갖추고 있었다.

금융 앱들은 위·변조에도 취약했다. 정상 앱은 위·변조가 되면 이를 탐지하고 작동을 중지한다. 하지만 조사 대상 앱 중 10개는 위·변조가 된 뒤에도 평소대로 작동됐다. 이 중에는 100만 건 이상 다운로드된 결제 앱, 50만 건 이상 다운로드된 금융회사 앱도 포함됐다.

분석팀은 은행 앱 1개를 대상으로 위·변조 탐지 기능을 피하는 ‘우회 기법’을 시도했다. 이 결과 5, 6시간 만에 탐지 기능이 무력화됐다. 이희조 고려대 컴퓨터학과 교수는 “기본에 속하는 소스코드 난독화와 위·변조 탐지조차 하지 않았다는 건 보안에 그만큼 덜 투자하고 있다는 의미”라고 말했다.

금전 거래에 쓰이는 금융 앱 해킹은 개인정보 유출과 금전적 손실 등의 피해를 불러올 수 있다. 해커가 ‘해적판(불법) 앱’을 유포해 스마트폰을 감염시키거나, 기존 앱을 통해 서버에 저장된 개인정보를 빼낼 수 있기 때문이다. 2015년엔 한 ‘화이트 해커(보안 취약점을 알리기 위해 해킹을 시도하는 선의의 해커)’가 인도의 대형은행 앱에서 고객들의 잔액 전액(250억 달러)을 빼낼 수 있다는 사실을 발견하기도 했다.

하지만 보안에 대한 금융회사의 인식과 투자는 ‘핀테크(금융기술)’ 확산 속도를 따라잡지 못하고 있다. 한국인터넷진흥원(KISA)에 따르면 지난해 국내 9586개 회사 중 정보기술(IT) 예산에 정보보호 예산을 5% 이상 편성한 곳은 1.1%에 그쳤다.

전문가들은 전자금융거래법과 전자금융감독규정, 금융보안원의 보안 가이드도 하루가 다르게 발전하는 해킹 기술을 따라잡지 못할 가능성이 크다고 우려한다. 또 해킹 사고가 터졌을 때 기업들이 가이드를 준수했다는 이유로 책임을 피해 갈 수도 있다. 김용대 KAIST 전기및전자공학부 교수는 “규제는 최소화하되 금융 사고가 났을 때 소비자들에 대한 배상금을 대폭 올려 금융사들이 자발적으로 정보보안을 강화하도록 유도하는 네거티브 규제를 강화해야 한다”고 말했다.

강유현 기자 yhkang@donga.com