금융 앱 보안 연구의 필요성

금융앱 설계시 보안보다 사용자 편의성만을 우선한다면 위험천만

보안위협도 다양하게 진화해 끊임없는 시험과 연구노력만이 대책

최근 몇 년간 스마트폰 시장이 급격히 활성화 되고 스마트폰 앱을 이용한 다양한 서비스가 증가하고 있다. 특히 금융 앱을 이용한 전자금융서비스는 사용자 편의성으로 인해 그 이용도가 지속적으로 증가하고 있는데, 금융이라는 특수성을 고려할 때 금융 앱의 보안성 확보는 필수적이라고 할 수 있다.
만일 보안을 고려하지 않은 금융 앱이 개발된다면 향후 금전적인 피해로 직결 될 수 있기 때문에 금융권에서는 보안에 많은 노력을 기울이고 있다. 이와 관련하여 현재 안드로이드 기반 금융 앱에 적용되어 있는 대표적인 보안기능을 소개하고, 지속적인 보안성 확보를 위한 다양한 노력의 필요성에 대해서 논의해보고자 한다. 안드로이드 기반 금융 앱에 적용되어 있는 대표적인 보안기능은 다음과 같다.

첫째, 스마트폰 백신의 기본 탑재이다. 스마트폰 사용자의 가장 큰 위협 요소는 스마트폰 악성코드이다. 일반적으로 공격자는 스마트폰에 악성코드를 설치하여 공격을 수행하므로 금융 앱에는 이러한 위협에 대응하고자 백신의 구동 및 업데이트를 기본 기능으로 적용하고 있다.

둘째, 루팅 탐지 기능의 적용이다. 스마트폰 사용의 편의성을 높이고자 사용자가 자신의 기기를 루팅하는 경우를 흔히 볼 수 있다. 이 경우 배터리 성능 향상, 저장 공간 확장 등 관리자 권한을 통해서만 접근할 수 있는 부분을 사용자가 원하는 대로 접근하여 일정부분 스마트폰 개조가 가능하다는 특징이 있으나, 스마트폰이 악성코드에 감염 된다면 스마트폰 환경을 악성코드가 원하는 대로 조작할 수 있기 때문에 이후 발생 할 수 있는 리스크는 배가 될 수 있다. 이러한 이유로 금융 앱에는 혹여나 발생 할 수 있는 해킹사고를 미연에 방지하고자 루팅 탐지 기능을 포함하고 있다.

셋째, 앱 무결성 보호 기능의 적용이다. 안드로이드 앱이 소스코드 획득, 수정 그리고 배포가 용이하다는 점은 익히 알려진 사실이다. 하지만 이러한 특징을 이용하여 악의적인 기능을 포함한 앱이 배포 될 경우 수많은 사용자들이 해킹의 위협에 노출될 수 있다. 예를 들어 누군가에 의해 뱅킹 앱의 보안기능이 수정되어 배포된다면, 보안기능 실행 절차가 줄어들어 사용 편의성은 증대 될 수 있으나, 해당 앱에 사용자 정보 유출 등의 기능이 함께 삽입되어 있다면 이후 상황은 매우 심각해 질 것이다. 따라서 금융 앱에는 이러한 보안 위협으로부터 사용자를 보호하고자 앱 무결성 보호 기능 적용이 확대되고 있는 추세이다.

넷째, 입력정보 보호 기능 적용이다. 스마트폰 기기는 사용자가 입력한 정보가 기억장치 등에 저장되어 처리되도록 설계되어 있다. 만약 사용자가 입력한 비밀번호 등의 중요정보가 스마트폰 어딘가에 저장되어 있다면 악성코드 등에 의해서 정보 유출과 같은 보안위협에 노출 될 수 있다. 이에 대응하기 위하여 금융 앱은 중요 입력정보를 보호하는 기능을 포함하고 있다. 하지만 안전한 금융 서비스 제공을 위한 금융권의 다양한 기술적 노력에도 불구하고, 끊임없이 진화하는 다양한 보안 위협으로부터 지속적으로 보안성을 확보하는 것은 어려운 문제다.
예를 들어 위에서 언급한 바와 같이 안드로이드 앱 수정에 대한 보안 위협은 앱 무결성 보호 기능으로 대응 할 수 있다. 하지만, 지속적인 분석과 해킹 시도를 통해 공격자는 향후 앱 무결성 보호 기능을 무력화 할 수 있는 새로운 취약점을 발견할 수 있을 것이다. 즉, 보안성 향상을 위하여 새로운 보안기술이 지속적으로 개발되고 있지만, 그에 대한 또 다른 보안 위협이 계속적으로 등장 할 수 있다는 점을 간과해서는 안 될 것이며, 앞으로도 이러한 위협을 대처하기 위한 다양한 노력이 계속되어야 할 것이다.

이와 관련하여 금융보안연구원에서는 금융 앱 보안 위협에 대한 연구와 취약점 점검, 금융보안적합성시험 등을 진행하고 있으며, 이와 더불어 금융 앱 보안성 강화 방안에 대하여 지속적으로 연구를 진행 할 계획이다.



관리자 기자