현재까지 모바일 보안은 개방된 망이 아닌 특정 플랫폼에 기반한 통신사 주도로 정책을 펼쳐왔다. 이에 뱅킹 및 일부 결제서비스에서만 보안 기술이 적용됐을 뿐 다양한 보안을 필요로 하지는 않았다.
그러나 이런 시장 환경은 위피(WIPI) 폐지와 안드로이드 같은 개방형 모바일 플랫폼의 급부상으로 모바일 보안 기술은 새로운 도전에 직면하기 시작했다. 개방형 모바일 플랫폼 환경에서는 인터넷과 같이 백신, 피싱 방지, 암호인증 등 모든 보안 요소를 고려해야 하는 것은 물론 모바일 서비스에 특화된 보안성을 갖춰야하기 때문이다.
아이폰의 경우 사용자가 스스로 잠금장치를 해킹(jail-broken)하지 않는다면 바이러스에 노출되기 쉽지 않다. 모든 애플리케이션을 검사한 후 앱스토어를 통해 내려받게 하는 애플의 정책으로 위험요소가 덜하다. 하지만 안드로이드, 심비안, 윈도모바일 등 다른 스마트폰 OS는 악성코드나 해킹의 위험이 크다.
스마트폰은 항상 켜져 있기 때문에 서비스분산거부(DDoS) 공격의 대상이 될 수도 있고 애플리케이션 다운시 악성코드나 피싱 등의 위험도 있다. 휴대 단말의 특성상 분실사고가 언제라도 발생할수 있다. 분실에 대비한 개인정보 암호화 등 보호정책이 시급하다. 또 웹에 연결돼 동작하기 때문에 바이러스나 악성코드에 의해 단말기에 저장된 개인 금융정보 등 개인정보가 해커들에게 넘어가 엄청난 피해를 가져 올수도 있다.
특히 스마트폰은 이동성과 사용편의성 때문에 PC뱅킹을 넘어서 스마트폰 뱅킹이용자가 급증할 가능성이 높아 PC뱅킹의 연장선이 아니라 보다 근본적인 스마트폰 뱅킹에 대한 보안 대책이 시급한 상황이다.
김홍선 안철수연구소 대표는 “모바일 시큐어 브라우저는 백신, 피싱방지, 데이터 유출, 개인정보 및 사용자 인증정보의 보호라는 방어적 측면과 뱅킹, 결제 등 안전한 전자상거래를 지원하는 서비스적 측면의 보안을 동시에 지원해야한다”며 “현재 PC에서 쓰이고 있는 보안 기능들을 그대로 갖다 옮기는 수준이 아닌, 스마트폰 특성에 맞춘 보안 기능이 필요하다”고 말했다.
올해 초 금융보안감독원이 발표한 ‘스마트폰 금융안전대책’ 준수도 중요하지만 사용자의 편의성을 고려한 보안 정책이 시급하다는 지적이다. 현재 금감원의 스마트폰 금융안전대책은 복수인증서 불가, 악성코드 예방대책 적용, 전자서명 의무화, 입력보안(키보드보안)을 반드시 사용하게 하는 등 현실과 어긋난 정책들이 많다는 비판이다. 관련 업계는 정책을 위한 정책이 아닌 스마트폰 뱅킹의 특성을 고려한 보안 정책의 적용이 시급하다고 입을 모은다.
장윤정기자 linda@etnews.co.kr