금융과 IT기술을 결합해 그동안 없었던 새로운 금융서비스를 만들자는 취지로 등장한 '핀테크'가 국내에서도 스타트업은 물론 금융당국까지 높은 관심을 보이고 있다.
그러나 금융서비스를 제공한다는 특성상 보안이 최우선 과제로 고려되야하는데도 불구하고 실제로는 무늬만 보안에 그치는 경우가 많다는 지적이 나온다.
17일 시큐인사이드2015에서 핀테크 보안을 주제로 발표를 맡은 카이스트 정보보호대학원 김용대 교수는 유명 암호학자인 브루스 슈나이어의 말을 인용, 국내 핀테크도 '시큐리티 씨어터(security theater)'에 갇혀 있는 것 같다고 주장했다.
국내서 가장 활발하게 논의되고 있는 핀테크 서비스는 스마트폰을 활용해 이전보다 훨씬 빠르고 간편한 결제서비스를 제공하겠다는 것이다.
문제는 이렇게 등장한 서비스가 보안성을 확보하기 위해 루팅탐지, 키보드보안, 난독화, 악성앱 탐지, 암호화 등 기능을 제공하고 있지만 실제로는 여전히 우회가 가능하다는 점이다.
김 교수는 연구실 소속 학생들과 함께 분석한 결과, "국내 결제 관련 핀테크 서비스가 안전한 것 같은 인상을 주지만 우회가 가능한 경우가 많았다"고 밝혔다. 극장에서 영화를 볼 때 겉으로는 안전하다고 느끼지만 정작 안전을 위한 별다른 조치를 취하지 않고 있는 것과 같다는 설명이다.
연구실서 분석한 내용에 따르면 국내 주요 결제서비스를 제공하고 있는 간편결제회사들이 제공하는 앱을 분석해 본 결과, 해당 앱을 해킹해 임의로 내용을 조작하는 일이 가능했다.
김 교수는 안드로이드폰을 루팅한 뒤 분석 대상 핀테크 앱을 설치한 뒤 루팅을 통해 관리자권한을 획득하기를 시도했다. 그러나 대부분 앱들이 루팅시도 여부를 탐지하고 앱을 종료시키는 보안기능을 가졌다고 그는 밝혔다. 이를 우회하기 위해 앱 내부 소스코드를 추출해 'BakSmali'라는 분석툴을 써서 앱이 어떤 기능을 가졌는지에 대한 정적분석을 수행했다. 이 과정을 거쳐 아예 보안기능을 제거한 리패키징된 앱을 만들 수 있었다는 것이다.
만약 공격자가 이러한 주요 결제용 핀테크 앱을 사칭한 악성앱을 제작하기 위해 이런 수법을 썼다면, 보안기능만 빠진 유사한 앱을 만들 수 있게 되는 것이다. 이밖에도 무결성 검증 등 보안기능을 우회할 수 있었다고 김 교수는 덧붙였다.
이러한 일이 가능한 이유로 김 교수는 "앱 내 보안기능이 모듈화돼있는 탓에 전체 로직에서 보안을 제대로 설계하지 못했기 때문"이라고 지적했다.
결론적으로 그는 핀테크가 시큐리티 씨어터에 갇혀있지 않도록 하기 위해 보안솔루션을 계속해서 둘러싸는 식이 아니라 논리적으로 안전한 솔루션인지에 대한 여부가 분석이 돼야한다고 조언했다.
관련기사
- 핀테크-IoT 보안, 융합과 사용자 편의성이 핵심2015.07.17
- 액티브X 없는 보안이 주는 의미2015.07.17
- 보안성 책임 커진 핀테크 스타트업, 어쩌나?2015.07.17
- 핀테크 사전 보안성 심의 폐지…사후 책임↑2015.07.17
이를 위한 방법 중 하나로 그는 금융사에서도 페이스북, 구글과 같이 취약점 포상제(버그바운티)를 실시해 보안성을 개선할 필요가 있다고 강조했다.
또한 "취약점에 대해서도 직접 기기를 조작할 수 있게 하는 중요 취약점 등에 대해서는 비중을 둬서 차별화된 포상제를 운영하고, 보안 솔루션을 적용하지 않은 상태에서도 취약점에 대한 분석이 필요하다"고 밝혔다.
