[토요경제=유지만 기자] 지난달 23일 금융위원회의 정책에 따라 금융결제원이 운영하는 ‘금융앱스토어’ 서비스가 출범 초기부터 ‘보안 무용’의 비판에 직면했다. 금융위와 금결원은 “일부 앱스토어에서 정상적인 금융앱을 가장한 피싱앱이 발견되어 피해가 우려된다”며 금융앱스토어의 중요성을 강조했지만, ‘오픈넷’과 ‘경제정의실천시민연대’ 등은 “오히려 보안위험에 노출시키는 꼴”이라며 금융앱스토어에 대한 문제점을 지적했다.

◇ 금융앱스토어, ‘피싱’에 안전할까?
금융위는 지난 4월 보도자료를 통해 “안전한 모바일 금융거래를 위해 금융기관통합 앱스토어를 구축하여 피싱앱의 등록 유통을 원천 차단할 것”이라고 밝힌 바 있다. 현재 각 앱스토어에 산재해있는 뱅킹 관련 앱들을 한곳에 모아 관리함으로써, 보안을 강화하고 각 뱅킹 앱의 유사앱(피싱앱)이 활개치지 않도록 방지하겠다는 것이다.

하지만 이에 대해 “‘피싱’이 뭔지 제대로 모른다”는 반론이 나왔다. 기존 뱅킹 앱의 피싱을 방지하겠다고 모아놓은 금융앱스토어 자체를 피싱하면 되지 않느냐는 것이다.

실제로 금융앱스토어의 피싱위험을 경고하기 위한 사이트도 등장했다. 22일 금융위가 금융앱스토어 실시를 발표한 날, 온라인에는 ‘금융얩스토어’라는 사이트가 등장했다. 해당 사이트는 기존 금융앱스토어의 주소(www.fineapps.co.kr)와 글자 하나만 다른 주소(www.flneapps.co.kr)를 가지고 있다. 해당 사이트를 접속하면 일반적인 금융관련 앱들을 소개하는 것처럼 되어 있지만, 자신의 운영체제를 선택해 들어가면 ‘낚이셨습니다’라는 문구와 함께 사이트의 개설 취지에 대한 설명이 나온다.

이 사이트는 금융‘앱’스토어의 보안 위험성을 지적하기 위해 한 네티즌이 제작한 것으로 알려졌다. 사이트 운영자는 안내글을 통해 “혹시 내가 덜 게으르고 나쁜 마음을 먹었다면 금융 정보를 가로챌 목적으로 똑같이 생긴 은행 앱도 만들 수 있었을 것”이라며 “이 사이트는 금융위와 금감원의 터무니없는 보안 정책에 항의하기 위해 개설된 것”이라고 밝혔다.

결국 금융앱 하나하나 보호하기 위해 만들어 놓은 금융앱스토어를 통째로 ‘피싱’하게 되면 보안위협은 오히려 더 커진다는 점을 지적하고 있다. 이에 대해 오픈넷과 경실련 측은 “보안을 이유로 금융관련 애플리케이션을 한곳에 모아두는 것은 오히려 해커의 손쉬운 공격대상을 마 련해 주는 셈이며 금융앱스토어를 가장한 간편한 피싱기법을 금융당국이 스스로 제공하는 것과 다름 없다”고 비판했다.

◇ “모바일판 액티브X 사용하라는 격”
오픈넷과 경실련 측은 이번 금융앱스토어 정책이 과거 ‘보안위협의 주범’으로 지목돼 온 마이크로소프트(MS)의 ‘액티브X’와 다를바가 없다고 지적했다.

MS가 자사의 인터넷 브라우저인 익스플로러에 사용해 온 ‘액티브 X’는 그동안 업계에서 ‘퇴출 1순위’로 꼽혀온 프로그램이다. MS 측에서는 사용자의 편의를 위해 ‘액티브X’를 개발해 배포해 왔지만, 이는 온라인 표준에도 맞지 않았고 보안상의 위협 또한 매우 컸다. 특히 국내의 경우 과거 개인정보가 유출된 사례가 매우 많은 나라 중 하나다. 업계 관계자들 사이에서조차 “국내 주민등록번호는 두 번 이상씩 해외에 유출됐을 것”이라는 말이 나올 정도였다.

모바일용 금융앱스토어가 지적받는 부분도 같은 맥락이다. 안드로이드폰의 경우 금융앱스토어 앱을 다운받게 되면 ‘알 수 없는 소스에서 앱 설치 허용’이란 경고문구가 등장한다. 즉 구글의 공식 앱스토어인 ‘구글플레이’를 통한 것이 아니라고 운영체제가 인식하는 것이다. 이에 대해 오픈넷 측은 “이는 액티브X 사용자들이 스스로 보안 등급을 낮춰가며 검증되지 않은 프로그램을 다운받았던 과거의 병폐와 전혀 다를 바 없다”고 지적했다.

◇ 제2의 ‘위피 실패’ 사례 될 수도
금융앱스토어의 성공에 의문을 제기하는 또 다른 시각은 ‘성공할 수 있을까’란 의문이다. 일부에서는 “과거 위피(WIPI)처럼 또 국내에서만 사용하고 고립되는 정책이 될 것”이란 우려스러운 전망까지 내놓고 있다.

위피는 지난 2001년 한국무선인터넷표준화포럼(KWICF)에서 야심차게 추진했던 국가적 과제였다. 국내 이동통신사들의 요구를 받아들여 시작한 이 프로젝트는 이통사 별로 상이했던 플랫폼을 상호 호환이 가능하도록 표준화하는 것이 목표였다. 이에 더해 해외 수출까지 염두에 뒀었다.

결과적으로, 위피 정책은 실패로 남게 됐다. 국내 표준으로 만들었지만, 해외 기술력을 일부 차용했기에 추가적인 비용 지불이 발생했다. 그나마 불완전하게 만들어져 타 이통사 간 이동시에도 개발비용이 발생하게 됐다. 이 뿐 만이 아니다. 해외 표준 기술을 사용했기에 해외 시장에서 위피가 갖는 개성이 없게 됐고, 이에 매력을 느끼지 못한 해외 시장에서 철저히 외면당하기에 이르렀다.

결국 2005년부터 위피 탑재를 의무화했던 정부는 2009년 4월에 전면 해제하기에 이르렀다. 한국 이동통신 시장이 세계적으로 ‘외톨이’가 되도록 내버려 둘 수 없었기 때문이다. 이에 대해 통신업계 관계자는 “당시 위피 실패는 사실 예견됐던 것”이라며 “잘 만드는것에 대한 고민보다 ‘세계 표준’이라는 타이틀에 매달린 결과”라고 지적했다.

금융앱스토어도 마찬가지다. 금융위와 금감원은 언론을 통해 “국내에 유통되는 스마트폰에 금융앱스토어를 기본탑재하는 방안을 검토 중”이라고 밝힌 바 있다. 결국 과거 휴대전화 기종에 의무설치를 강요했던 위피와 다를 바 없는 셈이다.

이에 대해 오픈넷과 경실련 측은 성명서를 통해 “국내에 판매되는 스마트폰을 국내 업체만이 제작하는 것이 아니”라며 “정부의 이러한 정책은 외국 경쟁 업체들의 스마트폰에 대한 국내 시장 진입장벽을 만들 뿐”이라고 지적했다.

◇ 금융해킹 방지할 효과적 대책은?
그렇다면 금융 해킹피해를 방지할 효과적인 방법엔 무엇이 있을까. 보안 전문가들이 ‘액티브X’의 보안 위험성을 지적하며 항상 하는 말은 바로 “위험한 것을 쓰지 않으면 되는 것”이란 말이다. 이는 ‘사용자 편의’라고 포장하며 위험한 프로그램을 배포하지 않으면 된다는 뜻이다.

한 보안업계 관계자는 “보안 관리를 굳이 금융앱스토어처럼 한 곳에서 관리하려고 한다는 게 오히려 의아하다”고 지적한다. 그는 “보안을 강화하려고 한다면, 굳이 한 곳에서 관리할 필요 없이 개별적으로 앱을 관리하면 될 것 아닌가”라고 반문하며 “서로 다른 구조를 가진 자체 프로그램을 만들어 관리한다면 공격자 입장에서 더 까다롭다”고 말했다.

다른 관계자 또한 비슷한 견해를 내놨다. 그는 “보통 주거래은행이 따로 정해져 있는데, 이들이 자체적으로 보안프로그램을 개발해 관리한다면 문제는 차라리 쉽다”면서 “이와 함께 해킹에 개인정보 유출 등의 피해를 입었을 때 금융업계에 배상책임을 무겁게 하고, 공격자를 색출해 중형을 내리는 등으로 관련법이 강화된다면 보안이 더 강화될 것”이라는 견해를 밝혔다.

[ⓒ 토요경제. 무단전재-재배포 금지]