지난 4월23일 금융결제원은 국내 17개 은행에서 제공하는 뱅킹 응용프로그램(앱) 등을 한 곳에서 내려받을 수 있는 ‘금융앱스토어‘ 서비스를 선보였다. 안드로이드, 블랙베리, 윈도우OS를 사용하는 스마트폰 사용자는 T스토어나 올레마켓과 같은 국내 이동통신사 앱스토어나 금융 앱스토어 웹사이트에서 내려받아 바로 사용할 수 있다.

해당 서비스를 출시하면서 금융결제원은 “구글플레이 등 기존 마켓에서 뱅킹 앱을 대상으로 출현하고 있는 피싱 앱을 원천적으로 차단할 수 있게 될 것으로 기대한다”라고 말했다.

fineappstore

이를 두고 온라인에서 갑론을박이 벌어졌다. 가장 먼저 금융 앱스토어 출현에 이의를 제기한 곳은 인터넷 사용자 권리 구현 운동을 진행중인 오픈넷이다. 오픈넷은 “정부가 나서 금융앱스토어라는 특정 기술 사용을 강제한다”라며 “이는 보안의 기본 상식에도 맞지 않는 정책“이라는 요지의 반대 성명서를 발표했다.

둘의 주장은 ‘정부기관이 운영하는 앱스토어가 안전하고 바람직한가’라는 부문에서 확연히 엇갈린다. 오픈넷은 ‘오히려 안전하지 않다’라고 주장하는 반면 금융결제원은 ‘철저하게 검증된 절차를 도입했기 때문에 구글플레이보다 안전하다’라는 입장을 보였다. 주요 쟁점에 대한 두 곳의 입장을 소개한다. 반대쪽 주장에 대한 추가 반론도 언제든 환영한다.

쟁점1. 정부기관이 운영하는 앱스토어, 바람직한가

# 오픈넷

앱스토어를 관이 나서서 운영하는 것은 구시대적인 발상이다. 구글플레이, 삼성 앱스, SKT T스토어 등 다양한 형태의 앱마켓이 이미 존재하고 있다. 이 상황에서 금융당국이 독점적으로 앱마켓을 운영하겠다는 것은 상식적으로 납득하기 힘들다. 정부가 운영하면 모두 안전하고 잘한다는 생각은 관치만능과 행정편의적 발상에 불과하다.

오히려 금융당국이 금융앱스토어 제공을 이유로 해킹이나 피싱으로 인한 이용자 피해로부터 자신들의 책임을 회피하려는 다른 의도가 있는게 아닌가 하는 의구심마저 든다. 보안을 이유로 금융관련 앱을 한 곳에 모아두는 것은 오히려 해커의 손쉬운 공격대상이 된다. 금융앱스토어를 가장한 간편한 피싱기법을 금융당국이 스스로 제공하는 것과 다름없기 때문이다.

# 금융결제원

금융결제원은 기관이 아니다. 금융결제원은 비영리 사단법인이다. 구글플레이 역시 T스토어나 네이버 앱스토어처럼 다른 기업의 앱스토어 시장 진출을 허용하고 있지 않은가. 금융앱스토어 여러 은행이 협의해 만들어 낸 또 다른 앱스토어일 뿐이다.

구글플레이에 금융 관련 앱을 올리는 걸 막고자 하는 게 아니다. 현재 구글플레이에 악성코드가 많이 유포돼 앱들이 오염됐다는 소식을 흔히 접할 수 있다. 금융앱스토의 출현을 기관이 통제한다는 의미보다는 안전하게 금융 결제를 할 수 있는 앱을 선보이기 위한 노력으로 봐주었으면 한다. 물론 향후 금융앱스토어 시장이 커지고 이를 찾는 사용자가 많으면, 금융 관련 앱이 자연스레 금융앱스토어에만 올라오지 않겠는가.

쟁점2. 파이어폭스에선 ‘신뢰할 수 없다’고 뜨는데, 안전한가

# 오픈넷

금융앱스토어는 액티브X 설치와 마찬가지로 ‘묻지마 설치’ 방식을 취하고 있다. 금융앱스토어의 PC용 웹페이지는 인터넷 익스플로러(IE) 사용자에게 액티브X 방식의 보안 솔루션을 권유하고 있다. 액티브X 방식은 이용자의 컴퓨터를 해킹 위험성에 고스란히 노출되도록 하는 설치 방식이다.

게다가 금융앱스토어 앱 설치 방식도 이용자의 모바일 단말기를 스스로 위험에 빠뜨리고 있다. 금융앱스토어의 모바일 접속페이지는 https 보안접속 방식도 아닌데다가 ‘알 수 없는 소스’에서 내려받은 앱을 설치하기 위하여 이용자 스마트폰의 보안 기능을 해제 하도록 하고 있다. 이용자들에게 ‘알 수 없는 소스’에서 앱을 설치하도록 강요하는 방식은 오히려 보안 위험을 증가시킬 수 있다.

# 금융결제원

보안서와 인증서를 검사하는 안전화된 https 방식의 웹브라우저도 함께 운용하고 있다. http로만 웹사이트를 운영하고 있는 게 아닌만큼 안정성이 떨어진다는 건 말이 되지 않는다. 분명 http와 https를 동시에 운영하고 있다. 파이어폭스 같은 일부 웹브라우저에서 https로 접속했을 때 접속이 원활하지 않은 문제가 발생해 불가피하게 두 방식을 유지하고 있다. 현재 금융앱스토어 웹사이트에서 앱을 내려받거나 설치할 땐 자동으로 https 주소를 사용해 보안을 유지하고 있다. 그 외 단순 페이지 정보를 볼 땐 http로 볼 수 있게 두 방식을 유지하고 있을 뿐이다.

파이어폭스 웹브라우저에서 ‘본 연결은 신뢰할 수 없음’이라는 문구가 뜨는 이유는 아직 모질라재단과 한국인터넷진흥원(KISA) 간 ‘KISA 공인인증서 SSL 인증서’ 등록 협력이 이뤄지지 않았기 때문이다. 공인인증서 모듈 확인은 웹브라우저에서 이뤄지는데, 최상위 인증서로 등록되지 않아 생기는 문구다. KISA에서는 조만간 협력이 체결돼 이 문제가 해결될 것으로 기대하고 있는 것으로 알고 있다.

33만원만 내면 누구나 앱을 올릴 수 있는 구글플레이와 달리, 금융앱스토어는 별도의 취약점 분석 보고서를 함게 제출해야 앱 등재가 이뤄진다. 금융앱스토어는 앱을 올리는 자격 기준이 따로 있다. 은행을 비롯한 금융기관이 지정한 개발자들만 금융앱스토어에 관련 앱을 올릴 수 있다. 이렇게 올라온만큼 금융앱스토어에 있는 앱은 오히려 피싱 등과 같은 각종 보안위협에서 안전하다고 볼 수 있다.

쟁점3. 금융앱스토어, 스마트폰에 기본 탑재되나

# 오픈넷

스마트폰에 금융앱스토어를 기본 탑재하려는 시도는 제2의 통신사간 모바일 플랫폼을 표준화함 모바일 플랫폼 정책인 위피(WIPI)처럼 실패하지 않을까. 금융위원회와 금융감독원을 비롯한 금융결제원은 국내에 판매되는 스마트폰에 금융앱스토어를 기본 탑재하는 방안을 고려 중이라고 알고 있다.

국내에 판매되는 스마트폰을 국내 업체만이 제작하는 것은 아니다. 정부의 이러한 정책은 외국 경쟁 업체들의 스마트폰에 대한 국내 시장 진입장벽을 만들 뿐이다. 국내 스마트폰 사용 환경을 전세계로부터 고립시키는 시도는 위피 한번으로 족하지 않은가?

# 금융결제원

금융앱스토어는 기본적으로 안전한 금융 결제를 위해 준비한 서비스다. 금융앱스토어 자체에 올라가는 금융 관련 앱은 취약점 조사를 거쳐 올라오기 때문에 상대적으로 피싱에 안전하다. 그러나 금융앱스토어 자체를 해킹하는 경우가 발생할 수 있다. 이에 금융결제원은 KISA와 손잡고 24시간 전세계 금융앱스토어 사칭 앱을 조사하고 있다.

이런 관점에서 국내 통신사와 제휴를 맺고 국내 출시되는 앱에 한해서 사전 설치하는 계획을 장기적으로 준비중이다. 노키아나 HTC 같은 해외에서 출시되는 앱도 국내에 들여올 때 이동통신사와 손잡고 특정 앱이 사전 설치되지 않는가. 금융결제원은 장기적인 관점에서 이렇게 이동통신사와 손잡고 금융앱스토어를 사전 설치해 배포하는 걸 고려 중이다. 이렇게 될 경우 금융앱사이트 자체 피싱을 막아 더 안전한 금융거래가 되지 않겠는가.

금융결제원은 앞으로도 금융앱스토어 활성화를 위해 노력할 방침이란 뜻을 밝혔다. 오픈넷은 계속되는 성명과 금융결제원을 비롯한 정부단체에 보내는 질의서를 통해 금융앱스토어 철폐를 주장하고 있다. 결국 금융앱스토어 활성화 여부는 해당 앱에 대해 어떻게 생각하는지에 따른 소비자 몫이 될 전망이다. 사용자가 외면하는 앱 플랫폼이 활성화될 가능성은 없으니까.

izziene@bloter.net

뭐 화끈하고, 신나고, 재미난 일 없을까요? 할 일이 쌓여도 사람은 만나고, 기사는 씁니다. 관심있는 #핀테크 #클라우드 #그외 모든 것을 다룹니다. @izziene