금융ㆍ기업용 모바일 앱…소스코드 위ㆍ변조 취약

무료앱 중심 악성코드 유통

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


금융사의 모바일 뱅킹과 기업의 그룹웨어용 애플리케이션(이하 앱)이 소스코드 위변조에 취약하다는 지적이 나왔다.

16일 한 해커 출신 컨설턴트에 따르면 국내 시중 은행과 카드사 모바일 뱅킹 앱, 대기업 그룹웨어용 앱 등 다양한 업무용 앱에서 취약점이 발견됐다.

이 컨설턴트가 금융사와 제조사로부터 모바일 앱 분석을 의뢰받아 분석한 결과, 상당수 업무용 앱에서 취약점이 나타난 것이다.

이에 따르면 제1 금융권인 A사 뱅킹앱은 리버스엔지니어링으로 간단하게 권한을 획득할 수 있었다.

또 B카드사의 앱은 해커가 모바일 내 모든 정보를 자신의 PC로 이동시킬 수 있었다. 리버스엔지니어링 기법으로 소스코드를 변조해 루트 권한을 획득한 후 해커의 PC에 연결하면 스마트폰 내 모든 정보를 확인할 수 있었다. 스마트폰 내 개인 사진, 문자, 카카오톡 메시지 등까지 모두 해커에 의해 탈취될 수 있는 것이다.

C사의 그룹웨어용 모바일 앱은 회사 대표의 개인 기밀자료, 그룹 인사정보, 임직원 월급정보, 설계도면까지 모두 손쉽게 뚤렸다.

전문가들은 금융권의 보안수준이 백신이나 네트워크 구간 암호화에 머물러 있는 사이 해커들의 공격이 소스코드 위변조로 빠르게 이동하고 있다고 경고했다.

익명을 요구한 한 개발자는 "현재 시중 뱅킹앱에 탑재된 주요 3개 백신을 쉽게 우회할 수 있는 기술이 해커들 사이에서 속속 개발되고 있다"면서 "앱을 겨냥한 리버스엔지니어링에 대비해 금융권과 대기업 등이 대비를 서둘러야 하는데 아직까지 본격적인 위협이 나타나지 않아 예산 투자가 잘 이뤄지지 않고 있다"고 말했다.

문제는 루팅이나 탈옥폰이 아니라도 안심할 수 없다는 것이다. iOS나 안드로이드 모두 게임앱 등 무료앱을 중심으로 해커들이 악성코드를 심어 유통시키는 경우가 많아 다운로드에 신중해야 한다고 전문가들은 지적한다.

보안업체 한 관계자는 "무료앱 대다수는 PC에서 `출처를 알 수 없는 소프트웨어'를 다운 받는 것과 같은 원리인데도 모바일이라고 해서 마음 놓고 앱을 다운받는 경향이 있다"고 지적했다.

관련 당국도 모바일 앱 보안 문제가 심각하다는 점은 인식하고 있다. 금융감독원은 지난달 초부터 이달 6일까지 한달 동안 보안 문제를 포함한 모바일 뱅킹 앱의 실태를 조사했다.

금감원 IT감독국 관계자는 "이달 6일까지 조사를 마치고 결과보고서를 정리하는 단계여서 아직은 어떤 문제점이 나왔는지 얘기해줄 수 없다"고 밝혔다.

업계에 따르면, 이번 조사도 샘플 조사에 불과해 체계적이고 지속적인 검증을 통해 문제점을 해결할 수 있는 감독 시스템과 우수 인력 보유 확충이 시급하다.

신동규기자 dkshin@




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


가장 많이 본 기사