[이슈] 보안에 구멍난? 모바일 뱅킹

모바일 화폐 VS 모바일 뱅킹

최근 모바일 뱅킹을 사용하던 사람들 중 몇몇이 자신의 계좌에서 돈이 빠져나가는 황당한 일을 겪어 이슈가 됐다. 문제의 서비스는 SK텔레콤에서 제공하던 '네모' 서비스로 사실상 모바일 뱅킹 서비스라기 보다 화폐 개념의 서비스에 가깝다.

그렇다면 모바일 뱅킹에도 이런 문제점은 전혀 없는 것일까? 정확한 모바일 화폐와 뱅킹의 개념부터 정말 믿고 쓸 수 있는 서비스인지 다시 한번 짚고 넘어가 보자.

모바일로 돈이 오가는 생활

'돈이 오가는 생활 모두 휴대폰으로 하십시오' 모 이통사의 모바일 뱅킹관련 커머셜에 등장하는 카피다. 말 그대로 돈이 오가지 않으면 우리네 생활이 되지 않을 정도로 돈은 중요하다. 열심히 공부를 하고 일을 하는 것도 먹고 살기 위해 돈을 벌기 위함이며 돈을 갖고 있어도 쓰지 않는다면 볼펜 한 자루 조차 내 것으로 할 수 없는 세상이다.

은행에 대한 의존도도 점차 높아지고 있다. 은행이 단지 저축을 하고 돈을 모아두기 위한 기능을 하던 때를 지나 유통망이 확대되고 신용카드가 범람하는 현재는 누군가에게 돈을 전달하기 위한 대리 창구 역할을 하는 시대가 된 것이다. 전자상거래가 활성화 되면서 돈을 안전하고 편리하게 전달하기 위해서 ARS뱅킹, 인터넷 뱅킹 등의 수단이 고안되고 사용됐다.

이런 뱅킹 서비스들에도 장단점이 존재한다. 편리하게 은행업무를 해결할 수 있지만 ARS의 경우 보안문제, 인터넷 뱅킹의 경우 공인인증서를 들고 다녀야 하고 PC가 없는 곳에서는 이용할 수 없다는 점이 큰 약점이다. 때문에 언제 어디서나 들고 다니는 휴대폰에서 금융문제를 해결해 보자는 시도가 계속 됐다.

모바일 화폐 VS 모바일 뱅킹

학생부터 직장인까지 하루에 은행갈 시간을 내기란 그리 쉬운 것이 아니다. 가까운 은행도 찾아야 하고 은행에 가서 줄을 서야 하며 아침에 집을 나설 때 통장과 도장, 또는 현금카드를 빼놓고 나왔다면 결국 볼일을 제대로 보지 못하는 경우가 허다하다. 은행 한번 나서는 길에 큰맘먹고 나서야 하는 사태가 발생한다. 결국 주변에서 돈을 빌리게 되고 월말이 되면 누구한테 얼마 값고 누구한테 얼마 받고 하는 복잡한 채무관계로 매달 골머리 썩게 되는 것이 당연지사.

전 국민의 입과 귀가 되고 있는 휴대폰에게 맡겨진 것이 바로 모바일 금융 서비스다. 모바일 금융 서비스는 화폐 서비스와 뱅킹 서비스로 나눠진다. 아직까지 이 두 가지 개념을 혼동하고 있는 모티즌들이 많은데 쉽게 분류하자면 모바일 화폐는 이통사가 주가 되는 서비스고 모바일 뱅킹은 은행이 주가 되는 서비스다. 그리고 두 가지 개념은 지불과 은행 업무라는 개념에서 틀리다. 모바일 뱅킹은 구조나 기능상 PC뱅킹에서 지원되던 모든 기능을 갖고 있다. 이 두 가지 개념들이 모호하게 컨버전스 되면서 생기는 이용자들의 혼란은 크다.

신용카드 서비스도 되고 은행 서비스도 되고 현금처럼 휴대폰으로 결제도 가능하니 어디에서부터 모바일 화폐고 어디까지가 모바일 뱅킹인지 종잡을 수 없을 정도다.

네모는 모바일 뱅킹이 아니다?

연일 보도 됐던 모바일 뱅킹 사고는 바로 SK텔레콤의 네모 서비스에서 벌어진 것이다. 네모 서비스는 은행업무와는 달리 SK텔레콤사에 가상 계좌를 만들어 두고 이를 자신이 사용하고 있는 다양한 은행의 실계좌와 연동시켜 이용하는 서비스다. 즉, SK텔레콤을 통해 각종 결제 업무를 하돼 SK텔레콤이 은행들과 거래할 수 있도록 사용자가 동의해주는 서비스.

SK텔레콤 모네타사업팀 이종현 과장의 말에 의하면 네모에서 벌어진 사고는 네모에 가입돼 있는 사람들을 대상으로 그사람의 은행 계좌번호와 비밀번호를 알아낸 뒤 자신이 네모 서비스를 이용해 돈을 인출하는 방식으로 벌어졌다. 문제는 인터넷 뱅킹에서 지원되는 공인인증서나 인터넷 뱅킹용 비밀번호가 없이 계좌번호와 비밀번호만으로 돈을 인출할 수 있었다는 점이었는데 이번 사고가 모바일 뱅킹 전체의 보안문제와 관련이 있는 것처럼 오해의 소지가 있었다는 것이다.

과연 모바일 뱅킹은 안전한가?

이통 3사가 현재 제공하고 있는 모바일 뱅킹은 은행에서 하는 서비스로 자신이 서비스를 원하는 은행에서 IC칩을 발급받아야 한다. IC칩에는 사용자의 고유한 계좌번호를 비롯한 은행 거래에 필요한 각종 데이터가 입력돼 있으며 은행에서 교부받은 IC칩 자체가 하나의 보안장치로 작동한다.

이후는 인터넷 뱅킹과 똑같다고 생각하면 된다. 인터넷 뱅킹의 경우 공인인증서를 사용하는데 공인인증서는 설치된 PC에서만 사용할 수 있으며 다른 PC에서 사용하고자 할때는 USB드라이브나 외장 하드디스크에 공인인증서를 넣어 갖고 다녀야 한다. IC칩은 인터넷 뱅킹으로 치자면 공인인증서와 마찬가지 역할을 한다.

모바일 뱅킹을 사용하려면 우선 칩을 휴대폰에 삽입한 뒤 IC칩의 고유 비밀번호인 PIN(칩 비밀번호)를 입력해야 한다. 그다음 예금 이체시에는 인터넷 뱅킹에서 사용하던 보안카드를 이용해 다시한번 비밀번호를 입력해야 하고 예금 이체전 계좌 비밀번호를 따로 입력해줘야 이체를 마칠 수가 있다.

즉, 3중으로 보안장치가 구성돼 있으며 이로 인해 모바일 뱅킹의 안전성은 인터넷 뱅킹과 거의 동일하다 볼 수 있다.

해킹의 가능성도 없다

그렇다면 해킹의 가능성은 어떨까? PC의 경우 사용자가 키보드의 어느 키를 누르는지를 감지하는 해킹 프로그램이 존재하고 사용자의 화면을 볼 수 있는 등 인터넷에 연결된 PC는 누군가의 감시를 항상 받을 수 있다는 점을 잊지 말자. 휴대폰에서도 같은 일이 벌어지지는 않을까? 이통사의 통신망을 이용하기 때문에 무선데이터 자체가 이통사 서버에 남거나 은행 서버까지 도달하기 전에 패킷을 가로채 이를 해킹할 가능성이 없을까 하는 우려를 지울수 없다.

결론부터 말하자면 이통3사에서는 모바일 뱅킹 이용시 자신의 서버를 거쳐 가도록 하는 방식을 지원하지 않는다. 통신망은 제공하나 패킷을 주고 받는 것은 금융권의 서버와 개인의 휴대폰 그 자체다. 해킹의 우려도 상대적으로 적다. 은행권의 서버를 직접 해킹한다면 가능하겠지만 현재로서 휴대폰 개개를 해킹하는 것이 불가능해 시도 자체가 불가능하다. 결국 모바일 뱅킹을 해킹하려면 휴대폰과 보안카드를 훔치고 PIN번호와 계좌비밀번호를 훔쳤을 경우에만 가능하다는 것이다.

QPTS 프로그램으로 인한 해킹 가능성

QPTS는 퀄컴사에서 배포한 어플리케이션으로 퀄컴의 CDMA칩을 사용하는 모든 휴대폰의 모든 데이터에 접근할 수 있는 프로그램이다. 이로 인해 휴대폰내의 그림친구, 벨소리는 물론 게임, 어플리케이션의 백업과 복제까지 가능해 몇몇 모바일 게임관련 카페에서는 모바일 게임들을 불법복제 하는 방법이 수면위로 급부상 하기도 했다.

QPTS를 실제 구해서 사용해본 결과 휴대폰내의 모든 메모리에 접근이 가능했다. 각종 프로그램파일을 PC에 다운로드 해 열어보는 것은 물론 내용을 수정해 다시 휴대폰 속에 넣을 수도 있으니 QPTS를 이용해 모바일뱅킹 프로그램을 수정해 사용할 수 있지 않을까?

K뱅크의 M커머스 담당 최종각 과장의 말에 의하면 이런 일은 불가능하다고 한다. 일단 모바일 뱅킹 프로그램 자체가 IC칩 자체에 탑재돼 있고 휴대폰의 메모리 영역과는 별개이기 때문에 휴대폰 자체의 메모리에 접근해도 IC칩 자체에 접근하기는 불가능하다는 것.

설사 접근한다 하더라도 프로그램을 소스로 되돌리는 역 어셈블리 작업에 걸리는 시간이 상당해 해킹을 시도 한다해도 휴대폰을 잃어버린 사용자의 신고가 더 빠를 것이라고 한다. 알고리즘 자체도 문제이거니와 어셈블리된 데이터를 풀어내는데 걸리는 시간은 2~3일 정도가 소요된다고.

커져만 가는 모바일 뱅킹 시장

모바일 뱅킹 시장은 아직 이통사별로 이용할 수 있는 은행도 틀리고 표준안 자체가 틀려서 서로 호환이 불가능하다. SK텔레콤의 M뱅크 서비스는 금융결제원의 금융 IC 표준보완 알고리즘(SEED)를 이용하고 있고 LG텔레콤의 뱅크온과 KTF의 K뱅크는 국제표준인 3DES를 채택하고 있다. 표준안 자체가 틀리기 때문에 SK텔레콤의 M뱅크 서비스는 사실상 호환이 불가능한 상태. 이용자 입장에서는 자신이 원하는 은행을 사용하려면 해당 이통사의 휴대폰 서비스를 이용해야 하는 일이기에 어렵고 복잡하기만 하다.

이런 불편함은 농협에 3사 공통 서비스가 시작되는 하반기부터 해결될 예정이다. 농협을 필두로 시중의 주요 은행들의 모바일 뱅킹 서비스가 일반화 될 것이며 이로 인해 전자상거래 서비스를 비롯한 돈이 오가는 생활에서 모바일이 차지하게 될 비중은 더욱 커질 것이다.

개인정보의 보안에 신경 써야

이통3사의 모바일 뱅킹 담당자들은 '모바일 뱅킹 서비스가 보안과 안정성에서 검증 받았지만 언제나 문제되는 것은 이것을 사용하는 사람들' 이라고 입을 모은다. 즉, 아무리 훌륭한 보안 솔루션이라 해도 다른 사람들에게 비밀번호를 노출시킨다면 아무 소용없다는 것이다.

스팸메일이나 전화로 자신의 금융정보를 묻는 경우나 신뢰도가 떨어지는 웹사이트 가입시 계좌번호나 신용카드 정보를 노출시키지 않는 것이 기본이다. 화면이 작은 모바일 뱅킹이라 해도 다른 사람들에게 노출되지 않도록 항상 주위를 잘 보고 사용하도록 해 개인 보안에 구멍이 나는 일이 없도록 하는 것이 중요하다.