[단독]모바일뱅킹 ‘짝퉁 앱’ 확산… 금융 시한폭탄 ‘째깍째깍’

농협만 하루 700건 접속 시도… 은행들은 현황 파악도 안돼

위·변조된 모바일뱅킹 애플리케이션(앱·응용프로그램)이 인터넷에 퍼져 실제 거래에 빈번하게 쓰이는 것으로 확인됐다. 전문가들은 위·변조된 앱이 사용자 몰래 개인정보를 빼내거나 제3자에게 돈을 이체시키는 ‘피싱(phishing)’ 도구로 악용될 수 있다고 경고하고 있다. 하지만 대다수 금융회사들은 뾰족한 대책을 마련하지 못하고 있는 실정이다.

19일 동아일보가 확인한 NH농협은행의 스마트폰 금융 앱 접속 현황에 따르면 위·변조 앱을 통한 뱅킹 시스템 접속 시도가 최근 하루 평균 700여 건에 달했다. 다른 시중은행도 농협과 비슷한 수의 접근 시도가 있을 것으로 추정된다. 하지만 이들 가운데 상당수는 접속 차단은커녕 접속 현황조차 파악하지 못하고 있는 것으로 알려졌다.

농협 관계자는 “위·변조된 앱의 접근을 막기 위해 올해 초부터 접속 시도 현황을 집계했더니 초기에 600여 건이던 하루 평균 접속시도 횟수가 이달 들어 700여 건으로 늘었다”며 “최근 자체 시스템을 구축해 위·변조 앱을 통한 접속을 완전히 차단하고 있다”고 말했다.

일부 사용자들이 금융거래에 위·변조 앱을 사용하는 이유는 이른바 ‘탈옥(루팅)폰’을 쓰기 때문이다. ‘탈옥폰’은 속도를 높이거나 유료 앱을 무료로 받기 위해 개조한 스마트폰이다. 시중은행들은 보안 문제를 들어 탈옥폰으로 금융거래를 못하게 막고 있다.

지난해 말 한국저작권위원회의 설문조사 결과에 따르면 스마트폰 사용자 10명 중 1명이 탈옥 경험이 있는 것으로 나타났다. 스마트폰 업계는 실제로는 이보다 훨씬 더 많은 수가 탈옥폰을 사용하고 있는 것으로 추정하고 있다.

인터넷 포털에선 손쉽게 위·변조된 금융 앱을 찾을 수 있다. 포털 검색 창에 ‘△△폰으로 ○○은행 앱 쓰기’ ‘스마트뱅킹 △△’ 등을 치면 위·변조된 파일과 사용 방법이 수십 건 올라온다. 이런 앱을 이용하면 은행이 막아놓은 보안 장벽을 우회해 뱅킹시스템에 접속할 수 있다.

문제는 이런 위·변조 앱에 다른 의도를 넣은 명령어가 들어 있을 경우 심각한 금융사고가 일어날 수 있다는 점이다. 아직까지 보고된 사례는 없지만 엉뚱한 계좌로 돈을 이체하거나 이체 한도를 바꿀 수 있다. 또 주민등록번호나 계좌번호, 비밀번호 등 개인정보를 수집하거나 특정한 명령에 따르는 ‘좀비폰’으로 만드는 것도 가능하다.

이런 위험 때문에 금융당국은 지난해 10월 ‘전자금융감독규정’을 개정해 금융회사들이 4월 10일까지 위·변조 앱에 대한 대책을 마련하게 규정했다. 하지만 상당수 은행은 아직 별다른 대책을 내놓지 못하고 있다.

한 시중은행 관계자는 “인터넷뱅킹 보안을 강화하는 것만으로도 일손이 달려 모바일뱅킹은 신경도 못 쓰고 있다”며 “다른 은행도 사정이 비슷할 것으로 예상된다”고 털어놨다.

익명을 요구한 한 보안 관련 교수는 “위·변조 앱을 방치하는 것은 대형 금융사고가 터질 수 있는 폭탄을 안고 있는 것과 같다”며 “소스코드 공개 정책을 유지하고 있는 구글이 금융 앱에 대해서는 프로그램 소스를 쉽게 위·변조할 수 없게 별도의 인증을 하는 것도 해결 방법이 될 수 있다”고 주장했다.

일각에서는 탈옥폰 사용자들도 정식 앱을 쓸 수 있게 해야 한다는 의견도 나온다. 현재는 탈옥폰을 통한 뱅킹 시스템 접속 자체를 막다 보니 탈옥폰 사용자들이 위·변조 앱을 찾아 나설 수밖에 없다는 것이다.

박창규 기자 kyu@donga.com