10년이면 강산도 변한다는 말이 있다. 올해는 아이폰이 세상에 나온지 10년이 되는 해이다. 모든 것을 스마트폰으로 해결할 수 있을 것이라고 호언장담했던 스티브 잡스는 세상을 떠났지만, 그가 남긴 기술은 지속적인 발전을 거듭하며 세상 많은 사람들이 일하고 소통하며 살아가는 방식을 근본적으로 변화시키고 있다. 일어난 순간부터 잠들기 전까지 스마트폰을 비롯한 모바일 기기와 함께하는 우리의 일상은 이미 너무나 익숙한 풍경이 되었다.
특히 가장 대표적인 모바일 기기로 꼽히는 스마트폰의 보급률은 점점 높아지고 있는 추세다. 미국의 벤처투자기관 KPCB의 조사에 따르면 '밀레니얼 세대' 인구의 78%가 매일 2시간 이상 스마트폰을 사용하고 있었고, 또한 60%는 향후 5년 후 모든 것을 스마트폰으로 처리할 것이라고 답변했다.
ICT 강자인 우리나라 역시 이 흐름에 적극 동참하고 있다. 시장조사업체 TNS, KT경제연구소 자료에 따르면, 작년 국내 스마트폰 보급률은 전 세계 평균인 70%를 훌쩍 뛰어넘는 91%를 기록한 것으로 나타났다.
이렇듯 스마트폰이 생활 필수품으로 자리잡게 됨에 따라, 스마트폰을 이용한 모바일 금융 서비스 이용도 빠르게 확산되고 있다. 작년 말 발표된 한국은행 조사에 따르면, 전체 응답자의 25.2%가 최근 6개월 내 온오프라인 상점에서 상품 구매 대금을 결제하기 위해 모바일 결제 서비스를 이용했다고 응답했다. 또 계좌 잔액 조회, 계좌 이체 등의 모바일 뱅킹 서비스를 주 1-2회 이상 이용하고 있다고 답한 응답자는 무려 61.2%에 달하는 등 모바일 금융 시장이 급성장하고 있는 것으로 나타났다.
금융업계는 모바일 금융 서비스 시대 도래에 발맞춰, 사용자의 금융 니즈를 만족시킬 수 있는 다각화된 서비스를 앞다퉈 선보이고 있다. 모바일을 통해 계좌 잔액을 조회하고, 간편하게 송금하며, 구매 대금을 결제한다. 최근에는 영업점을 방문할 필요 없이 소액 대출을 받거나 심지어 주택담보 대출도 모바일을 통해 신청할 수 있는 등 다양한 모바일 서비스와 상품이 잇달아 출시되며 모바일 금융 서비스 확산에 불을 붙이고 있다.
모바일 금융 서비스를 노린 보안 위협 대두
이렇게 모바일 금융 시장이 커져 가는 동시에, 모바일 금융 서비스를 이용하는 사용자의 정보를 노린 사이버 위협도 빠르게 증가하고 있다.
서비스 사용자가 악성 앱을 다운로드 받게 유인한 후 계좌번호, 공인인증서 암호 등 금융정보를 가로채 불법 결제·이체를 시도하는 형태이다. 특히 사용자의 스마트폰이 루팅 또는 탈옥된 상태라면, 공격자가 최상위 권한을 빼앗아 민감한 금융 및 개인 정보를 탈취하고 이를 다크웹에 올려 판매하는 등 그 피해가 더욱 확대될 수 있다.
악성 앱 유포 방식은 공격 경로에 따라 크게 두 가지로 구분된다.
첫 번째는 보안이 취약한 공유기를 해킹한 뒤 해당 공유기에 연결된 모든 모바일 기기를 감염시키는 방식이다. 공격자는 무차별 대입 공격(brute force attacks)을 통해 관리자 계정이 제품 출하 당시 설정된 기본값 그대로 방치되어 있거나 ‘123456’과 같이 허술한 비밀번호를 사용한 공유기의 최고 관리자 권한을 획득한 뒤, 공유기 내부에서 DNS(Domain Name Server)를 변조해 사용자를 악성 앱을 다운받을 수 있는 가짜 사이트로 유인한다.
두 번째는 이메일이나 문자를 통해 불특정 다수에게 악성 앱을 배포하여 실행하게 유도하는 형태다. 공격자는 정상 앱의 설치파일(APK) 또는 iOS용 파일 확장자명인 IPA 파일을 추출한 뒤, 리버스 엔지니어링 기법을 이용해 해당 앱을 낱낱이 역으로 분석한다. 이후 정적·동적 분석을 통해 얻은 정보를 토대로 사용자를 강제적으로 악성 서버로 리다이렉트 시키거나 사용자가 입력하는 정보를 몰래 가로챌 수 있는 ‘키로깅(Keylogging)’ 기능이 포함된 악성 스크립트를 삽입한다.
악성 앱을 만든 공격자는 이메일이나 문자를 통해 불특정 다수에게 악성 앱을 배포하며 더 많은 사용자가 이를 다운로드하게 유도한다. 상대적으로 보안 의식이 낮은 사용자는 아무 의심 없이 앱을 설치하고 이를 실행함으로써, 공격자가 구축한 악성 서버로 사용자의 금융 정보를 전송하게 된다.
즉 소스코드 난독화, 앱 무결성 검증, 루팅 및 탈옥 탐지 등 핵심 소스코드를 보호할 수 있는 다양한 보안 기법이 선행적으로 앱에 적용되지 않았다면, 어떤 앱이라도 쉽사리 공격의 교두보로 이용될 가능성이 있다.
모바일 금융 서비스, 어떻게 안전하게 이용할 수 있을까?
이러한 보안 위협으로부터 사용자의 금융, 개인 정보를 안전하게 지키기 위해서는 어떠한 노력이 요구될까?
모바일 금융 서비스를 제공하는 금융 기관 및 기업은 물론 이를 이용하는 사용자 역시 개인의 정보를 안전하게 보호하기 위해 기본적인 보안 수칙을 준수하는 노력을 기울일 필요가 있다. 개인 소유 기기인 스마트폰과 공유기를 통해 공격이 주로 이뤄지고 있는 만큼, 서비스 제공사 및 제품 제조사가 일일이 보안성을 점검하고 확인하기에는 한계가 있기 때문이다.
우선적으로 금융 앱을 다운로드 받기 전에 개발자 정보 등의 출처와 사용자 리뷰를 참조하여 앱의 위변조 여부를 따져볼 것을 권고한다. 불법 앱 마켓은 물론 구글 플레이스토어, 애플 앱스토어 등의 정상 앱 스토어에도 위변조된 앱이 업로드 될 수 있는 가능성이 존재하는 만큼, 조금이라도 의심스러운 앱은 다운로드 받지 않는 것이 안전하다. 다운로드를 받았다면, 실행 전에 스마트폰에 설치된 백신을 통해 악성 여부를 검사함으로써 악성 앱 설치 위험성을 낮추는 것이 바람직하다.
또한 정상 사이트로 접속을 시도하는 경우에도 해킹된 공유기를 통해 가짜 사이트로 리다이렉트 될 수 있는 만큼, 공개된 와이파이 사용은 가급적 자제하고 개인 공간에 설치된 공유기도 주기적으로 점검할 필요가 있다. 사용자는 일정 시간이 소요되더라도 제품 제조 시 설정된 관리자 ID와 비밀번호를 변경하고, 최신 펌웨어를 업데이트하며, 타인이 임의로 DNS를 변경할 수 없게 수동으로 기능을 설정하는 등 개인 공유기의 보안성을 높이기 위해 노력하여야 한다.
스마트폰 해킹 위험도를 높일 수 있는 행동은 자제하는 것이 좋다. 특히 스마트폰 운영체제 구조를 임의로 변조하거나 일반 사용자들이 조작할 수 없는 기능까지 실행할 수 있는 더 높은 권한을 획득하는 스마트폰 루팅과 탈옥은 가급적 자제하는 것이 바람직하다. 실제로, 탈옥한 스마트폰을 쓰는 사용자들을 노리고 메모리 상의 기록을 전부 복제(메모리 덤프)하거나 관리자 권한을 획득한 후 민감한 개인 정보를 유출하는 공격들이 빈번히 발생하고 있다.
더불어, 새로운 유형의 공격 수법에 보다 기민하게 대처할 수 있는 예방 체계 구축도 필수적으로 요구된다. 사용자는 일정 시간이 소요되더라도 스마트폰 운영체제 및 백신 프로그램을 항상 최신 버전으로 업데이트하고 정기적인 검사를 수행함으로써, 백신 탐지를 회피하거나 기기 취약점을 악용해 뚫고 들어오는 사이버 공격에 대비하여야 한다. 또한 많은 사용자들이 스마트폰과 PC를 연동해 사용하고 있는 만큼, PC에 설치된 악성코드가 스마트폰에 옮겨가지 않도록 PC 보안에도 각별한 주의를 기울여야 한다.
모바일 금융 서비스를 보다 안전하게 이용하기 위한 방어 전략, 정보 보안 의식 요구돼
스마트폰 탄생 10년을 맞이한 지금, 우리나라 성인 넷 중 하나는 모바일 결제 서비스를 이용하고 있을 정도로 스마트폰 기반의 모바일 금융은 빠른 속도로 대중화되고 있다.
여러 보안 기업 및 기관이 올해 빈번히 발생할 사이버 공격 중 하나로 모바일을 비롯한 차세대 IT 기술을 악용한 공격을 꼽았듯이, 악성 앱 배포, 네트워크에 연결된 IoT 및 임베디드 기기 해킹, 피싱, 스미싱 등 다양한 기법을 통해 모바일 금융 서비스를 겨냥한 공격이 지속적으로 발생할 것으로 예측된다.
모바일 금융 서비스를 안전하게 이용하기 위해서는 금융과 보안업계, 그리고 모바일 금융 서비스 사용자 모두의 책임 의식이 요구된다. 모바일 기반의 금융·보안 서비스를 제공하는 기업과 기관은 지속적인 투자와 연구개발을 통해 더욱 교묘해지고 지능화되는 보안 위협에 맞설 수 있는 방어 전략을 마련해야 한다.
사용자 역시 모바일 기기를 활용한 금융 서비스를 사용하기 앞서 기본적인 모바일 보안 수칙 준수를 습관화함으로써 모바일 환경의 보안성을 강화하였으면 하는 바램이다.