안드로이드 마켓에 올라간 금융기관의 뱅킹 애플리케이션(앱)이 사용자 계좌에서 돈을 해킹하는 도구로 전락할 개연성이 높은 것으로 지적됐다. 해커가 정상 뱅킹 앱을 내려 받아 변조한 앱으로 다시 올리면 이를 무심코 내려 받은 사용자의 금융 정보를 가로 챌 수 있기 때문이다.
14일 숭실대학교 이정현 교수(컴퓨터학부)는 안드로이드 마켓 등록 절차는 애플의 앱스토어와 달리 25달러를 지불하고 개발자 본인이 셀프 사인(개인 인증)한 앱을 마음대로 올릴 수 있는 데 해커가 이 같은 허점을 노릴 수 있다고 주장했다.
즉, 해커가 정상적인 뱅킹 앱의 코드를 일부 변조해 셀프 사인한 후 재등록하면 안드로이드 마켓에선 이를 정상 앱으로 인정하고 다시 이를 내려 받아 계좌 이체 서비스에 사용하면 지정된 사용자가 아닌 해커의 계좌로 송금된다는 것이다.
실제, 이정현 교수는 안드로이드 마켓의 운영 허점을 이용해 정상적인 국내 27개 금융기관 뱅킹 앱을 변조한 후 해커의 계좌로 송금하는 해킹 과정을 최근 세미나에서 시연을 통해 입증했다.
이 교수는 “구글이 앱의 등급을 다양하게 설정, 셀프 사인한 뱅킹 앱을 설치하지 못하도록 하는 근본적인 대책이 필요하다”며 “행안부도 이러한 취약점을 인식하고 적절한 대안을 찾기 위해 구글코리아와 논의 중인 것으로 안다”고 설명했다.
현재 각종 검색 사이트에서 ‘안드로이드 은행 앱’이란 검색어를 치면 인터넷 카페·블로그 등에 개인이 올려놓은 은행 앱을 어렵지 않게 찾을 수 있다.
안철수연구소 이성근 책임연구원은 “은행 앱을 간편히 다운받기 위해 카페나 블로그에 올린 뱅킹 앱을 의심 없이 이용하는 경우가 많은데 보안이 검증되지 않은 앱을 사용하면 자칫 큰 금전적 피해를 입을 수 있다”고 경고했다.
장윤정기자 linda@etnews.co.kr