4월8일 금융위원회는 안드로이드폰, 블랙베리, 윈도우모바일 폰 사용자들은 앞으로 스마트폰 금융거래를 위한 앱을 “금융앱스토어”에서만 내려받도록 하겠다고 발표하였습니다. 금융위원회는 아마도 금융결제원과 미리 이야기를 해뒀나 봅니다. 오늘 금융결제원은 금융앱스토어 페이지를 열었습니다. 관련 보도는 여기
금융앱스토어 페이지 주소는 www.fineapps.co.kr 입니다.
PC로 접속하면, 해당 페이지는 자동으로 https 접속을 하게 됩니다. 따라서, 파이어폭스 웹브라우저에서는 “이 페이지는 믿을 수 없는 페이지인데 그래도 접속하겠습니까?”라는 다음과 같은 보안경고가 큼지막하게 표시됩니다.
무시하고 “그냥 진행”하라는 말인지요? 마치 “이 프로그램은 당신 컴퓨터에 해를 끼칠 수 있습니다”라는 보안경고를 무시하고 “그냥 설치”를 누르라고 끊임없이 안내하던 그 버릇 그대로…
이런 경고가 뜨는 이유는, 이 사이트가 국내 공인인증기관이 발급한 SSL서버인증서를 사용하기 때문입니다. 한국내에서만 통하는 공인인증기관을 파이어폭스는 믿어주지 않습니다. 주요 브라우저 중 하나가 안 믿는(untrusted) 서버인증서? 그런 서버인증서를 설치해 둔 웹사이트는 제정신이 아니라고 봐야겠죠.
더 재미있는 것은, 모바일에서 www.fineapps.co.kr을 접속하면, https로 전환되지 않는다는 점입니다. 스마트폰에 앱을 설치하려는 이용자가 굳이 PC로 접속해서 스마트폰앱을 내려받을 이유는 없을 것입니다. 주로 스마트폰으로 접속할 것인데, 이때에는 아무런 보호장치 없이 서버의 신원을 전혀 확인할 수 없는 HTTP접속을 하게 해두었습니다.
공격자가 이 페이지를 가장하여 악성코드를 담은 앱(.apk)을 나눠주기 딱 좋도록 되어 있습니다.
가장 황당한 부분은, 이렇게 다운로드 받은 “금융앱스토어”라는 앱을 유저가 자신의 안드로이드 폰에 설치하려면, “알 수 없는 소스에서 앱설치 허용”을 선택해야 한다는 것입니다. 사실 안드로이드 폰에서 이것을 허용하는 것이 가장 큰 위험에 유저를 노출하는 행위인데, 바로 이렇게 하도록 유저를 유도하는 것입니다.
국민은행 등 일부 국내 은행들은 자신의 스마트폰 뱅킹 앱을 그냥 apk 파일로 고객들에게 나눠주면서, “알수없는 소스”에서 마구 앱을 설치할 수 있도록 스마트폰 설정을 위험하게 바꾸라고 안내하는 “해괴한” 일을 하고 있습니다.
이런 짓부터 좀 그만하는 것이 고객의 안전을 위하는 일입니다. 그런데 이제 금융위원회와 금융결제원은 일부 은행의 이런 해괴한 짓을 아예 본격적으로 모든 은행을 대신하여 감행하고자 하는 것입니다.
“알 수 없는 소스”를 체크 하지 않았더라면 아무 피해 안봤을 고객이 금융위원회와 금융결제원이 강요한 “금융앱스토어”를 설치하느라 자기 폰을 무방비 상태로 열어두어 사고를 당하면 금융위원회와 금융결제원이 배상해 주는 것이 옳다고 생각합니다. “공인인증서는 안전하다”면서 은행과 보안업체편을 들고 나서서 결국 소비자에게 책임을 지우는 판결이 나오도록 유도하는 짓은 이제 좀 그만하고요.
적어도, 설치 후에는 “알 수 없는 소스”를 다시 uncheck하라는 안내라도 좀 하세요, 제발…
금융위, 금감원, 금결원만 없었더라도 한국의 스마트폰 보안은 훨씬 덜 위험해졌을 것이라는 생각이 들게 만드는군요.
금융위/금감원에 정중히 항의하기: https://openweb.or.kr/fsc/161
관련 글:
금융앱스토어 관련 질의
금융앱스토어에 대한 ‘금융위원회’ 보도자료?
‘허점투성이 금융앱스토어’… 해킹 위험에 더 노출 (전자신문, 3월24일자 보도)
[언론장악저지공동행동][기자회견문] 류희림 ‘민원사주’ 고발 공익제보자 압수수색 – 도둑의 편에 서서 선량한 신고자를 겁박하는 경찰이야말로 수사 대상이다
[류희림 ‘민원사주’ 고발 공익제보자 압수수색 서울경찰청 규탄 기자회견] 도둑의 편에 서서 선량한...
보안 절차에서 다양성을 배제하여 일원화하고 통로를 중앙집중 시키는 것만큼 치명적인 취약점도 없을 터인데.. 금융부터 언론까지 한 방에 마비되는 전산 대란을 겪고도, 이제 개개인의 통신수단까지 교란하기 더 쉽게 만들어 국가안보를 더욱 위태롭게 만드려는 현행 제도는 남녀노소 좌우 진보/보수를 다 떠나서, 대한민국의 안녕을 바라는 모두가 힘을 모아 하루빨리 바로잡아야 한다고 생각합니다. 겨우 북한해커들의 흔적을 쫓아 중개하는 조무래기들을 색출하는 것보다, 이렇게 뿌리부터 틀린 현행 제도를 바로잡는 일이 훨씬 더 효과적인 조치입니다. 만약 누군가 이 모든 것의 배후 세력이 또 북한이라고 주장한다면, 이보다 더 탄탄하게 성공하고 있는 북한의 공작활동은 아마 역사에 또 없을 겁니다.
이걸 “보안대책”이라고 내놓은 금융위 공무원은 안드로이드 앱이 어떻게 설치되는지, 구글 플레이 스토어가 뭔지 도통 이해를 못하는 사람 아닐까요? 그런 사람이 한국의 금융거래보안을 책임진다?
“까라면 까는식”으로 이런 앱을 만들어 그것 역시 apk로 뿌리면 된다고 생각하는 금결원 개발자도 거기서 거기.
벌써 이런 화이트(?) 피싱 사이트가 등장했습니다. http://www.flneapps.co.kr/
이 사이트에서 버튼을 누르면 이런 내용이 보이는 페이지로 이동합니다. http://imgur.com/UppZzAz
정부가 계속해서 국민들을 적극적으로 위험에 빠트리고 사용자들이 이걸 막아보자고 또 나선 상황이라니… 정말 암담합니다. ㅠㅠ
아무리 설명해도 도통 못알아듣는 금융위/금감원/금결원 관련자들을 교육하기 위하여 몸소 도메인까지 구입하시고, 피싱예제 사이트를 만들어 주신 http://www.flneapps.co.kr/ 사이트 운영자 분께 감사드립니다.
피싱 예제 사이트는 어떠한 법률상 문제도 없음을 분명히 말씀드립니다. 저작권 침해도 아니고요(공정사용의 대표적인 경우입니다)
금융위/금결원은 즉시 사과하고, http://www.fineapps.co.kr 사이트를 당장 내리는 것이 옳을 것입니다. 그대로 두면, 실제로 피해자들이 생길 것은 불을 보듯 뻔하지 않습니까?
보안에 대한 철저한 무지로 무장하고 여러해 동안 한국의 보안 상황을 절망적으로 몰아간 금융위/금감원은 이제 그 한계를 인정하고 규제 정책을 전면 재검토 해야 할 시점에 왔다고 생각합니다.
거두절미하고… 보안을 위해 보안을 해제하라는 보안시스템. 세계에서 찾아보기 힘든 걸작이라고 생각합니다.
가면 갈수록 더 태산이네요..
이런 사람들은 주민 소환 못하나요? 세금이 아깝습니다.
누가 이따위 아이디어를 국가정책으로 만들자고 내는 것일까요?
루트CA 가 키사던데 키사도 파폭에서 신뢰할 수 없는 연결로 나오네요;;;
오페라 웹브라우저로 https://www.kisa.or.kr 접속에 성공하신분 있나요?
오페라 웹브라우저로 https://www.fineapps.co.kr 을 접속하면, 보안접속이 실패합니다. 국내 공인인증기관은 서버인증서를 어떻게 만들기에 이런 일이 벌어지는지 제 능력으로는 알지 못하겠네요. http://opennet.or.kr/wp-content/uploads/2013/04/Screenshot-from-2013-04-25-123154.png
멍청한 철밥통 집단이 세계최고의 멍청한 짓을 하네.
철밥통 = 철꼴통
알수 없는 소스가 무엇인지 이야기도 없이 그냥 쓰셨네여
알수 없는소스는 구글 플레이스토어 에서 받지 않은 어플을 사용흘수 있도록 하는것입나다
구글 플레이스토어애도 버그 앱 이상한앱들이 가득합니다
체크 안한다고 해서 해킹이랑은 상관없어요
사용자가 확실한 어플만 설치한다면
//개발자님?
구글플레이도 사후검수는 합니다. 자동화된 방식이라 꼼꼼하진 않지만, 전체적으로 악성앱 비율이 어느 수준 이하로 관리되고 있는 상태입니다.
이 사이트에서 말하는 ‘알수없는 소스 설정 사용으로 인한 피해’ 는 sms 등을 악용한 스미싱 피해를 말하는 것입니다.
‘체크안한다고 해서 해킹이랑 상관없는’ 게 아닙니다.
국가와 은행에서 지금까지 ‘알수없는 소스’ 설정을 해제하도록 안내해왔고, 거기 따라 설정을 변경한채로 방치된 휴대폰이 많습니다. 즉 정부주도의 잘못된 보안정책을 따른 결과 앱 설치 차단 기능이 해제되어 있는줄도 모르는 사람이 많다는 얘깁니다.
이상황에서 악성앱 설치 주소를 해커가 sms로 대랑 발송하면 어떤일이 일어나겠습니까?
‘알수없는 소스’ 설정을 잠그고 구글플레이를 이용하는것이 그나마 낫다는 것입니다.
“사용자가 확실한 어플만 설치한다면”, 애초에 보안이 필요 없겠지요.
구글 플레이 스토어에도 악성앱이 있을 수 있으니, 아예 “알 수 없는 소스”에서 내려받은 것을 설치하라? “개발자”님?