은행앱 해킹해보니..10분만에 아이디·패스 고스란히

조성훈 기자 2013. 7. 13. 06:00
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
2시간이면 악성코드 넣은 짝퉁앱 제작..해킹도구도 유통, 대책마련 시급

[머니투데이 조성훈기자][2시간이면 악성코드 넣은 짝퉁앱 제작...해킹도구도 유통, 대책마련 시급]

"자 보세요. 은행앱 파일을 일단 PC에 저장해둡니다. 그리고 여기서 APK(앱 실행파일)을 디컴파일하면 자, 소스코드 보이시죠. 여기에 아이디·패스워드 인증시스템의 IP주소를 우리쪽으로 바꿉니다. 자 아이디·패스워드 보이시죠?"

서울 서초동에 위치한 보안회사 에스이웍스. 이 회사 홍동철 CTO(최고기술책임자, 이사)에게 모바일앱 마켓에서 각각 모바일 게임과 금융사의 모바일뱅킹앱을 내려받은 뒤 위변조 가능 여부를 의뢰했다. 결과는 충격적이다. 각각 10분도 안돼 소스코드를 확인해 위변조하는 것은, 물론 이 앱을 설치한 사용자가 입력한 아이디와 패스워드까지 고스란히 확인할 수 있었다.

◇10분 만에 아이디, 비밀번호까지 파악

소스코드는 프로그램의 구조와 실행 명령이 담긴 개발언어의 뭉치다. 따라서 이를 살펴볼 수 있다는 것은 프로그램의 설계도를 그대로 엿보는 것과 같다.

특히 금융거래에 사용되는 은행앱 조차 이같은 해킹에 속수무책인 것으로 확인됐다. 홍 이사는"자체 테스트 결과 모바일앱의 소스코드를 출시 2시간 만에 분석한 뒤 리패키징해 똑같은 짝퉁앱으로 만들 수 있었고 디자인까지 바꿔 내놓는데 모두 4시간이 걸렸다"면서 "그 과정에서 소스코드에 사용자 금융정보를 빼내는 악성코드를 심어넣는 식의 위변조가 얼마든지 가능하다"고 말했다.

그동안 위변조된 모바일뱅킹의 위험성이 강조되어왔는데, 실제 은행앱의 해킹이 이처럼 손쉽다는 게 시연을 통해 확인된 것이다.

통상 PC기반 프로그램의 경우 소스코드를 확인하기 어렵도록 안전장치를 두는 게 일반적인데 모바일앱, 특히 안드로이드앱의 경우 상대적으로 허술한 것으로 나타났다. 인터넷상에서는 모바일앱의 소스코드를 들여다보거나 이를 수정한 뒤 리패키징(소스코드를 다시 완결된 앱으로 만드는 과정)하는 툴들이 버젓이 유통되고 있다.

파악된 소스코드에다 일부 수정을 가해 다시 리패키징하면 얼마든지 정상앱으로 둔갑시킬 수 있는 것이다. 이같은 툴들은 애초 모바일앱 개발의 편의를 위해 만들어졌지만 해킹에 악용되는 것이다. 게다가 사용법이 비교적 간단해 일반인들도 지시하는 데로만 따라하면 해킹이 가능할 정도다.

홍민표 대표 / 사진=에스이웍스

◇대형 금융사고 '시한폭탄' 될 수도

문제는 해커가 정상앱을 해킹한 뒤 악성코드를 심어 안드로이드마켓이나 SMS(단문문자메시지)를 통해 뿌리고, 이를 설치한 사용자의 개인정보나 금융정보를 고스란히 탈취할 수 있다는 점. 따라서 금융권 모바일앱 해킹은 대형 금융사고의 위험성을 안고 있는 시한폭탄과 같다는 지적이다.

이같은 해킹앱들은 수년전부터 등장했지만 뚜렷한 대책이 없는 상태다. 보안업체들은 특히 구글 플레이의 경우 상대적으로 검수절차가 허술해 이같은 위변조 앱들을 정상앱처럼 등록돼 퍼진다고 지적했다.

올 초에도 국내 안드로이드 마켓에서 국민은행, 농협, 우리은행, 기업은행 등 주요 금융권 가장한 악성코드 탑재 모바일앱이 등장해 일부 스마트뱅킹 이용자들이 피해를 본 것으로 나타났다. 게다가 SMS에 앱 설치주소를 넣어 뿌리고 무료이벤트 등으로 유혹하는 스미싱 형태의 해킹 시도도 빈번하다.

금융권에 따르면, 위변조된 앱을 통한 시스템 접근시도가 하루에도 수백여건에 달하는 것으로 나타났다. 한 시중은행 관계자는 "위변조앱으로 아이디·패스워드, 공인인증서와 같은 개인정보를 탈취한 뒤 정상적인 뱅킹서비스로 위장해 거래를 요청할 경우 은행으로선 막기가 어렵다"고 말했다.

이와 관련 금융감독원은 시중은행들에게 프로그램 위변조 여부 등을 확인해서 거래를 차단하는 무결성 검증시스템을 갖추라고 지시했다. 그러나 보안업체들은 위변조앱이 이미 개인정보를 빼내간 뒤일 가능성이 큰 만큼 크게 실효성이 없다고 지적했다.

홍민표 대표는 "구글은 프로가드와 같은 소스코드 보안기능을 제공하지만 이를 모르는 개발자가 많거나 복잡하다는 이유로 생략하기도 한다"면서 "특히 금융앱의 경우 위변조의 집중 타깃이 되는 만큼 개발과정에서 난독화 기술 채택하는 등 각별한 주의가 필요하다"고 말했다.

코스닥 급반등 임박! 지금 매수할 종목 무료 추천

[머니원] 시장을 주도할 스몰캡 종목 전격공개

[머니투데이 핫뉴스]

이혁재 "집도, 아내 월급도 압류 상태..하우스 푸어!" 50명 탈출 도운 벤 레비 "이윤혜 승무원이 날…" '무릎팍' 이시영, 과외제자 대학 합격시킨 사연공개 너목들 옥에 티 발견…이종석, "정말 몰랐어요" 엄기준 '너목들' 특별출연, "스케줄 조율 중"

[book]시간 속에 숨겨진 시대의 비밀

궁금했던 기업의 진짜 연봉 정보! 무료 검색하세요~

▶ 핫포토 갤러리

머니투데이 조성훈기자 search@

< 저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지 >

Copyright © 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지

이 기사에 대해 어떻게 생각하시나요?
머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.