은행권이 `루팅(rooting) 스마트폰`과 전쟁을 벌이고 있다.
자사 모바일뱅킹 애플리케이션(앱)을 보안에 취약한 루팅폰에서 이용할 수 없도록 업데이트하면 일부 사용자가 루팅폰에서도 이용 가능한 방법을 웹상에서 공유하고 해당 은행은 다시 업데이트를 하는 행태를 되풀이한다.
기업은행은 이번 달 초 실시한 앱 업데이트에서 루팅폰 이용제한 조치를 강화했다. 은행 측은 “루팅을 적용하면 악성코드 등으로 금융사고가 발생할 우려가 있어 제한정책을 강화했다”며 “다양한 루팅 방법에 대응을 확대하고 있다”고 밝혔다.
NH농협도 유사한 조치를 취하느라 분주하다. 지난해 말 앱 버전 업데이트로 루팅폰 이용 제한 조치를 취하자 일부 사용자가 해당 앱을 루팅폰에서 사용할 수 있도록 위·변조해 유통하기 시작했다. 농협은 이에 맞서 이달 15일 정식 앱이 아닌 위·변조 앱에서 발생하는 거래를 차단하고 나섰다.
전자금융거래 보안 사고라면 치가 떨리는 은행권 입장에선 어쩔 수 없는 조치다. 농협 관계자는 “모바일뱅킹에 있어서 보안은 무엇보다 민감한 부분”이라며 “루팅폰 앱에서 보안사고가 발생한다면 고객 사이에서 불안감이 확산되는 것을 막을 수 없기 때문에 일부 불편에도 차단하는 것”이라고 설명했다.
보안업계 관계자도 “루팅을 한 것과 안 한 것은 보안 수준 차이가 엄청나다”고 말했다. 신한은행·우리은행 등도 보안 솔루션 업체와 제휴를 맺고 루팅폰 사용을 제한했다.
하지만 루팅으로 자신의 스마트폰을 자유자재로 꾸미는 `고수 사용자` 반격도 만만치 않다. 이들은 은행이 루팅폰 거래를 차단하는 방법을 분석한 후 이를 공유한다. 그리고 갖가지 솔루션을 적용해보며 사용 가능한 방법을 찾아낸다.
이를테면 `농협 앱에는 루팅 검사와 더불어 로그인 시 위·변조 해시(hash) 검사까지 추가됐다…결국 설치 파일 자체를 한 글자도 수정하지 못하는데 블로그 이웃신청을 하면 다른 방법을 알려주겠다`는 식이다. 해당 블로그 포스트에는 100개 가까운 댓글이 달리며 새로운 루팅 방법을 공유했다.
루팅은 휴대폰 소유자의 `기본 권리`기 때문에 은행이 이를 제한해선 안 된다는 입장도 있다. 루팅은 PC와 마찬가지로 스마트폰에서 관리자 권한을 획득하는 과정일 뿐이라는 것이다.
아이디 `youknowit`을 사용하는 네티즌은 “유저가 스스로 소프트웨어를 변경해 사용하는 건 권리”라며 “아무 프로그램이나 설치할 수 있는 PC에선 뱅킹을 가능하게 해놓고 루팅폰에서 막는 것은 앞뒤가 맞지 않는 처사”라고 주장했다. 은행의 이 같은 방침이 오히려 보안 위험성이 있는 변경 앱을 더 양산한다는 주장이다.
스마트폰 모바일뱅킹 등록자 수(단위:천명·자료:한국은행)
황태호기자 thhwang@etnews.com