모바일 뱅킹 앱 열에 아홉이 보안에 구멍이 뚫렸다는 조사가 나왔다.
BGR는 IO액티브 랩리서치 보고서를 인용해 모바일 뱅킹 대부분이 암호화되지 않은 링크를 포함했으며 해커가 이를 악용해 민감한 개인 정보를 빼돌릴 수 있다고 15일 보도했다. IO액티브는 세계 주요 60개 은행에서 만든 40개 iOS용 모바일 앱을 조사해 이 결과를 얻었다. 금융권 서버는 제외하고 고객용 모바일 앱을 점검했다.
조사 대상 중 90% 앱 안에 SSL(Secure Socket Layer)을 쓰지 않는 링크가 포함됐다. SSL은 고객과 은행 간에 오가는 중요한 정보를 보호하는 프로토콜이다. 해커는 보안되지 않는 링크를 악용해 모바일 뱅킹 트래픽을 가로채고 가짜 로그인을 유도하는 `자바스크립트/HTML` 코드를 넣을 수 있다. 은행에서 배포한 앱을 실행했지만 해커가 조작한 화면에 로그인해 정보를 빼앗긴다.
50% 앱은 XSS(Cross Site Scripting)와 같은 기본 공격에도 취약했다. 해커가 악의적인 스크립트가 포함된 게시물을 모바일 앱에 등록할 수 있다. 40% 앱에서 나타는 취약점은 중간자 공격(Man in the middle attack)에 노출됐다. 모바일 뱅킹 앱이 SSL 인증서 유효성을 확인하지 않기 때문이다. 해커는 고객과 은행 간에 오가는 데이터를 훔쳐보거나 바꿀 수 있는데 양측은 이 사실을 알지 못한다. 90% 모바일 뱅킹 앱은 운용체계(OS) 보안성을 보장할 수 없는 탈옥한 iOS에서도 작동했다.
아리얼 산체스 IO액티브 연구원은 “모바일 뱅킹 앱 사용량이 급증하는 현실을 감안하면 이 결과는 매우 충격적”이라며 “발견된 취약점 대부분이 해커가 민감한 정보와 데이터를 빼내거나 스마트폰을 제어할 수 있는 위험한 수준”이라고 설명했다. 그는 “금융권이 모바일 뱅킹 앱 보안 수준을 올리는 데 집중해야 할 때”라고 덧붙였다. IO액티브는 구체적인 금융기관 이름은 거론하지 않았다.
김인순기자 insoon@etnews.com
