금융결제원이 지난달 23일 시작한 `금융앱스토어` 서비스에 대한 논란이 뜨겁다. 보안 강화를 위해 내놓은 서비스가 오히려 해킹에 노출시킨다는 지적이 거세지면서다. 그러나 금융결제원은 꼭 필요한 서비스라며 강행 의지를 보이고 있다. 논란의 주요 쟁점과 대안을 짚어봤다.
◇금융앱스토어 문제
금융앱스토어는 국민·우리·신한 등 국내 17개 은행의 스마트폰 애플리케이션(이하 앱)을 한곳에서 내려 받는 창구(앱)다. 은행의 공식 앱을 신뢰할 수 있는 곳에 모아 위·변조 앱 확산을 차단하겠다는 취지에서 마련됐다.
이 앱은 모바일 웹사이트(m.fineapps.co.kr)와 PC 웹사이트(fineapps.co.kr)에 접속하거나 T스토어·올레마켓 등 통신사가 제공하는 장터에서 받을 수 있다.
문제는 전용 웹사이트에서 금융앱스토어를 다운 받는데서 시작된다. 이 앱을 금결원 웹사이트에서 다운 받아 스마트폰에 설치하기 위해서는 `알 수 없는 출처`에 체크해야 한다. 이는 확인되지 않은 프로그램, 즉 위험 파일이 스마트폰에 설치되는 것을 막는 일종의 보호 장치인 데, 금결원이 이를 해제토록 강요하는 셈이다.
`알 수 없는 출처`를 풀면 악성코드와 같은 유해 프로그램이 스마트폰 내 설치될 가능성이 높아지기 때문에 금융앱스토어 서비스가 오히려 보안에 역행하고 있다는 비판이다. 또 웹사이트를 해킹하면 악의적인 프로그램으로 바꿔 칠 수 있다는 점도 문제로 지적되고 있다.
◇금결원은 왜 직접 앱을 배포하나
금융결제원은 `구글플레이` 등에 금융기관을 가장한 위·변조 앱이 출현하기 때문에 별도의 창구가 필요했다고 강조했다.
금결원 관계자는 “은행을 중심으로 가짜앱 문제 해결을 위해 논의한 결과, 보다 효과적으로 대처하기 위한 방법으로 금융앱스토어를 고안한 것”이라고 전했다. 금융 앱들이 흩어져 있으면 개별 기관마다 모니터링도 어렵고 피싱 같은 사고에 대처가 늦어질 수 있어 효율성을 높이기 위해 한 곳에 모았다는 설명이다.
또 `구글플레이`에 금융앱스토어를 등록할 수 없었기 때문에 이 같은 배포 방식을 취했다고 덧붙였다. 금결원 관계자는 “국내 이동통신사들과는 협의를 거쳐 등록할 수 있었지만 구글은 정책상 금융앱스토어를 거부했다”고 전했다. 웹사이트 해킹 위험에 대해서는 “누구나 안고 있는 문제”라며 “보안을 철저히 해 문제가 없다”고 주장했다.
◇해법은 없나
스마트폰 이용자들이 `안전한` 금융앱을 쓸 수 있도록 하는데 목적이 있는 만큼, 업계는 정식 앱스토어에 각 금융앱들을 등록하고 금결원이나 금융기관들은 이를 다운 받을 수 있는 링크를 제공하는 방법이 대안으로 제시했다.
보안 업체 관계자는 “가짜앱 때문에 별도 스토어를 만들게 되면 똑같은 문제가 반복될 뿐 아니라 더 큰 보안 문제를 야기할 수 있다”며 “링크나 QR코드 등을 제공해 사용자들이 정상적인 앱을 다운로드 받도록 안내해도 충분할 것 같다”고 말했다. 이 경우 공식 스토어에서 앱을 내려 받기 때문에 `알 수 없는 출처` 문제는 해소된다.
애플리케이션 개발 업체 세마포어솔루션 이창원 대표는 “당국이 모든 걸 해결하겠다는 식의 접근은 곤란하다”고 비판하며 “금융앱을 구글플레이나 통신사 스토어에 등록하고 각 기관들은 이를 다운 받을 수 있는 링크를 소개하는 것이 더 안전한 방법”이라고 의견을 냈다.
윤건일기자 benyun@etnews.com
