한겨레

케이비(KB)국민은행이 모바일 뱅킹을 이용하는 안드로이드폰 사용자에게 스마트폰 보안 설정을 무시하도록 안내해 스마트폰 보안을 취약하게 만드는 것으로 드러났다.

국민은행 고객이 안드로이드 환경에서 스마트폰 뱅킹을 이용하려면 앱 장터인 구글의 플레이스토어에서 ‘케이비스타뱅킹’을 받아 설치해야 하는데, 이 과정에서 국민은행이 이용자로 하여금 스마트폰 보안 설정을 낮추도록 안내하고 출처를 알 수 없는 경로에서 앱을 내려받게 만든다. 실제로 구글 플레이스토어에서 케이비스타뱅킹을 선택하자, ‘보안 설정’을 ‘알 수 없는 소스 설치 허용’으로 바꾸도록 안내했다. 사용자가 동의하자, 구글 플레이스토어는 또 한번 “휴대폰과 개인정보는 출처를 알 수 없는 공격에 매우 취약합니다. 이러한 앱을 사용하여 발생할 수 있는 휴대폰 손상이나 데이터 손실에 대해 사용자에게 책임이 있음에 동의합니다”라는 알림을 띄워 사용자의 확인을 요구했다.

이는 국민은행이 구글 플레이스토어에 앱을 올려놓지 않고 별도의 경로를 통해 내려받게 안내하기 때문이다. 구글은 플레이스토어를 거치지 않고 제3의 경로로 앱을 설치할 경우 피싱이나 위·변조된 앱일 가능성이 높기 때문에 사용자에게 중대한 보안 위협이 있다고 알려준다. 이 때문에 안드로이드폰 사용자가 케이비스타뱅킹을 내려받을 경우, 사용자는 ‘출처를 알 수 없는 앱’ 설치 허용으로 보안 설정을 바꾸게 되어, 이후 다른 앱을 설치할 때도 유사한 보안 위협에 노출되게 된다. 이 앱을 내려받은 사용자는 10만명을 넘는다. 국민은행 쪽은 “모바일뱅킹 사용자의 80%가 안드로이드폰을 이용하고 있다”고 밝혔다.

이와 달리 신한·하나 등 대부분의 시중은행은 보안을 해제하지 않고, 구글 플레이스토어에 모바일뱅킹 앱을 올려놓고 정상적인 경로로 내려받을 수 있게 했다. 이 때문에 플레이스토어에는 이 앱을 내려받은 이용자들의 비판적 평가가 가득하다. ‘Alan****’은 “보안이 중요한 은행 앱을 설치하면서 보안을 해제시키는 게 문제”라고 지적했다. 국민은행이 플레이스토어에 제공한 개발자의 전자우편 주소는 ‘no_reply@gmail.com’으로 등록돼 있는데, 메일을 보내면 정상적이지 않은 이메일이라는 에러메시지가 되돌아온다.

국민은행 관계자는 “현재 구글 플레이스토어에서 고객이 케이비스타뱅킹 앱을 내려받을 때 ‘알 수 없는 소스 설치’ 허용에 동의해야 해 이용자들이 보안에 대해 불안해하는 것을 인지하고 있다. 현재 보안을 강화한 새로운 앱을 개발하고 있어 하반기에는 구글 플레이스토어에서 정상적 방법을 통해 이용할 수 있도록 할 예정”이라고 밝혔다.

구본권 기자 starry9@hani.co.kr