"루팅·탈옥된 스마트폰, 금융앱 보안 무방비"

입력 : 2014-09-05 오후 3:42:43
[뉴스토마토 류석기자] 루팅 및 탈옥 상태인 스마트폰의 금융 관련 애플리케이션(앱) 사용에 있어서 보안문제가 심각한 것으로 나타나 사용자들의 주의가 요구된다.
 
루팅과 탈옥은 안드로이드 운영체제 스마트폰과 IOS 운영체제 스마트폰에 따라 각각 달리 사용되는 용어다. 루팅과 탈옥이란 기본적으로 사용자가 자신의 편의에 맞는 형태의 UI(User Interface)로 운영체제를 변경하기 위해 시도하는 것이다. 쉽게 말해 사용자가 스마트폰 운영체제에 대한 관리자 권한을 갖게 되는 것을 의미한다.
 
◇모바일 애플리케이션 보안.(자료제공=A3시큐리티)
 
5일 업계에 따르면 루팅·탈옥 상태의 스마트폰을 통해 금융앱을 이용할 경우 해커들의 금융정보 유출 공격에 무방비상태가 된다. 정상적인 상태일 때 보다 비교적 간단한 공격 방식을 통해 사용자의 금융앱 내부를 들여다 볼 수 있는 것이다.
 
특히 젊은 이용자들 사이에서 스마트폰을 루팅·탈옥하는 현상이 많이 생겨난다. 인증되지 않은 앱마켓을 통해 다양한 앱을 다운받을 수 있으며, 이를 통해 스마트폰을 좀 더 편리하게 활용할 수 있기 때문이다. 최근에는 간단한 조작으로 루팅·탈옥을 할 수 있게 해주는 툴이 여럿 생겨나 이러한 현상은 더욱 가속화 되고 있다.
 
실제로 루팅·탈옥된 스마트폰에서는 금융앱을 사용할 수 없도록 제작된다. 금융앱 자체에서 스마트폰이 정상적인 상태인지 탐지하고, 루팅·탈옥이 돼 있다면 앱이 자동으로 작동이 중단되도록 조치 돼 있다. 하지만 이마저도 별도의 프로그램을 사용하거나 간단한 조작을 통해 우회할 수 있다.
 
보안업체 A3시큐리티 자체 조사한 결과 국내 은행들이 제작해 배포한 금융앱들 대부분이 루팅 및 탈옥 상태에서는 보안 상태가 취약했다. 금융거래 모바일 앱 보안 대책들 대부분이 우회 가능하거나 무력화가 가능했다. 모바일 백신 적용, 앱 위·변조 방지, 사용자 입력 정보 보호 등의 모바일 앱 보안 대책들이 해당한다. 
 
업계 다수의 전문가들은 루팅·탈옥된 스마트폰을 사용하게 되면 금융앱 안에 저장된 정보와 돈이 오고가는 통신 과정에서 금융 정보를 해커가 손쉽게 탈취할 수 있다고 설명한다.
 
정대근 A3시큐리티 보안기술팀장은 "인터넷에서 데이터를 안전하게 전송하기 위한 인터넷 통신 규약 프로토콜인 SSL 암호화 통신으로 금융 정보가 이동한다고 해서 안전하다고 생각하는 것은 문제다"라며 "이는 위협이 네트워크 기반으로 오는 것을 막는 것일 뿐이지 내부 정보의 암호화는 보장되지 않기 때문에, 루팅이나 탈옥을 통해 SSL통신을 사용할 경우는 매우 위험하다"라고 말했다.
 
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지
류석 기자
류석기자의 다른 뉴스