국내 모 시중은행이 서비스하고 있는 버츄얼머신(VM) 모바일 뱅킹에 유효기간이 지난 인증서를 사용해도 인증이 되는 등 심각한 보안 취약점이 있는 것으로 드러났다.
27일 고려대 BK21 유비쿼터스 정보보호사업단(단장 이동훈)은 시중에서 서비스되는 VM 모바일 뱅킹의 보안 취약점을 조사한 결과, 유효기간이 2002년 6월 18일부터 2003년 6월 18일까지인 서버 인증서도 정상으로 작동되는 것으로 확인됐다.
고려대는 유효기간이 지난 인증서를 사용하더라도 VM뱅킹 프로그램이 정상적으로 동작했다며 VM뱅킹 프로그램이 서버에 대한 인증을 하지 않거나 오작동하고 있다고 분석했다.
이동훈 고려대 교수는 “현재 서비스 중인 VM 모바일 뱅킹에서는 유효기간이 만료된 인증서를 사용하더라도 VM뱅킹 프로그램이 정상적으로 동작한다”며 “VM뱅킹에서 서버에 대한 인증을 수행하지 않거나, 서버에 대한 인증을 잘못 수행하는 심각한 보안 취약점이 발견됐다”고 밝혔다.
이에 대해 W은행 측은 “유효기간이 만료된 인증서를 사용한 것이 아니라 엔지니어의 실수로 인증서의 유효기간을 잘못 표시했을 뿐”이라며 “관련 내용에 대해 금감원과 금융보안연구소에 보고했으며 전체적인 VM모바일 뱅킹에 문제는 없다”고 해명했다.
기존 모바일 뱅킹은 금융칩을 장착할 수 있는 전용 핸드폰에서만 가능했으나, VM모바일 뱅킹은 전용폰이 아니더라도 대부분 기종의 휴대폰으로 은행 거래를 이용할 수 있는 서비스다.
김인순기자@전자신문, insoon@
