이준호의 사이버보안 이야기 <13> 은행 앱을 조심하라 : 모바일 뱅킹의 보안 사각지대 > News Insight

"당신의 스마트폰이 위험하다"

스마트폰을 켜고 은행 앱에 로그인했다. 잔액을 확인하고, 공과금을 이체하고, 주식 거래를 하는 것까지. 이제 이 모든 것이 일상이 되었다. 하지만 편리함의 이면에는 위험이 도사리고 있다. "잠깐, 지금 사용하는 은행 앱이 진짜 은행 앱이 맞나?"라는 의심은 해본 적이 있는가?

"가짜 앱의 등장과 새로운 위협"

2023년 초, 국내 주요 시중은행을 사칭한 가짜 앱이 발견되었다. 이 앱은 진짜 은행 앱과 거의 동일한 화면을 보여주었고, 구글 플레이스토어에도 등록되어 있었다. 수만 명의 사용자가 이 앱을 다운로드했고, 이 중 상당수가 개인정보와 금융정보를 탈취당했다. 특히 충격적인 것은 이 앱이 생체인증까지 우회할 수 있었다는 점이다.

"은행 앱 해킹의 실체"

해커들은 다양한 방법으로 은행 앱을 공격한다. 대표적인 수법은 다음과 같다:

   1. 가짜 앱 배포: 진짜와 거의 똑같은 인터페이스로 사용자를 속인다.

   2. 악성코드 감염: 피싱 메시지나 이메일을 통해 악성코드를 심어 앱의 보안을 무력화한다.

   3. 중간자 공격: 공공 Wi-Fi 등을 통해 통신 내용을 가로챈다.

"무너지는 보안 체계"

최근 한 보안 컨퍼런스에서 충격적인 시연을 목격했다. 보안 전문가가 단 5분 만에 스마트폰의 은행 앱 보안을 무력화시킨 것이다. 생체인증도, 보안카드도, 공인인증서도 소용없었다. 모든 보안 체계가 뚫린 그 순간, 컨퍼런스장은 숨죽인 침묵에 휩싸였다.

이는 시연에 그치지 않았다. 2024년 1월, A은행의 모바일뱅킹 시스템이 해킹되어 수백 명의 고객이 피해를 입었다. 해커들은 단순히 돈을 빼가는 것을 넘어, 피해자들의 계정을 이용해 대출까지 받아갔다. 더 심각한 것은 이 사고가 발생한 후에도 수개월 동안 피해자들이 자신의 계정이 해킹당했다는 사실을 모르고 있었다는 점이다.

"AI가 가져온 새로운 위협"

이제 해커들은 AI를 무기로 삼고 있다. 딥페이크 기술로 피해자의 목소리를 완벽히 복제해 은행 콜센터 상담원을 속이고, AI 채팅봇으로 수많은 고객들에게 동시에 피싱 공격을 시도한다. 특히 최근에는 생성형 AI를 이용해 실시간으로 보안 취약점을 찾아내는 사례도 발견되고 있다.

2023년 말, 한 해커 그룹은 AI를 이용해 국내 주요 은행들의 모바일 앱 취약점을 자동으로 분석했다. 그들은 발견된 취약점을 이용해 수천 개의 계정을 탈취했고, 이 정보들을 다크웹에서 거래했다. 더 충격적인 것은 이 해킹 도구가 이제 다크웹에서 누구나 구매할 수 있게 되었다는 점이다.

"진화하는 금융 보안 위협" 

"지난해 말, 국내 한 대형 은행에서 발생한 사건은 금융 보안의 새로운 위기를 잘 보여준다. 해커들은 은행 고객들의 스마트폰에 설치된 키보드 해킹 앱을 통해 비밀번호와 계좌번호를 탈취했다. 특히 충격적인 것은 이 앱이 은행 앱의 보안 키보드까지 우회할 수 있었다는 점이다.

더욱 놀라운 것은 해커들이 탈취한 정보를 이용해 피해자의 평소 금융 거래 패턴까지 분석했다는 것이다. 이를 통해 의심을 피할 수 있는 '자연스러운' 금액의 이체를 실행했고, 이 때문에 피해 사실이 늦게 발견되었다.

이제 해커들은 단순히 돈을 빼가는 것을 넘어, 피해자의 신용등급을 조작하거나 대출한도를 높이는 등 더욱 교묘한 수법을 사용하고 있다. 실제로 지난달에는 해커들이 피해자의 신용등급을 임시로 높인 뒤 대출을 받아가는 사례가 발견되기도 했다."

"해외 사례로 보는 경고" 

"해외에서는 이미 더 심각한 사례들이 보고되고 있다. 2023년 영국의 한 은행에서는 해커들이 은행 직원의 계정을 탈취한 뒤, 내부 시스템에 접근하여 수천 명의 고객 정보를 빼냈다. 더 놀라운 것은 이들이 은행의 보안 시스템을 우회하기 위해 실제 은행 직원의 업무 패턴을 수개월간 학습했다는 점이다.

호주에서는 가짜 은행 앱을 통해 수만 명의 피해자가 발생했다. 해커들은 진짜 은행 앱의 UI를 그대로 복제했을 뿐만 아니라, 실제 은행의 고객센터 번호까지 도용했다. 피해자들이 의심스러워 은행에 전화를 걸어도, 해커들이 운영하는 가짜 콜센터로 연결되어 안심하게 만든 것이다.

이러한 해외 사례들은 우리에게 중요한 경고를 보내고 있다. 해커들의 공격 방식이 점점 더 정교해지고 있으며, 단순한 기술적 대응만으로는 한계가 있다는 것이다."

"우리는 어떻게 대비해야 하나"

그렇다면 우리는 어떻게 해야 할까? 다음과 같은 대비책이 필요하다:

  1. 의심스러운 앱 설치 주의

   · 공식 앱스토어에서만 앱을 다운로드한다

   · 앱의 권한 요청을 꼼꼼히 확인한다

   · 업데이트는 반드시 공식 경로를 통해 진행한다

  1. 보안 기능 활용

   · 생체인증과 PIN번호를 함께 사용한다

   · 로그인 알림 서비스를 반드시 활성화한다

   · 공인인증서는 별도 저장장치에 보관한다

  1. 모바일뱅킹 이용 시 주의사항

   · 공공 Wi-Fi 사용을 피한다

   · 정기적으로 비밀번호를 변경한다

   · 대규모 금융거래는 가급적 영업점을 이용한다

  1. 이상 거래 모니터링

   · 소액이라도 의심스러운 거래는 즉시 확인한다

   · 평소와 다른 패턴의 거래가 있는지 주기적으로 점검한다

   · 이체 한도를 필요한 만큼만 설정한다

  1. 추가 보안 수단 활용

   · 하드웨어 보안키를 사용한다

   · 다중 인증을 반드시 설정한다

   · 보안카드는 절대 사진으로 보관하지 않는다

"비대면 금융거래 시대의 과제"

모바일뱅킹은 이제 거스를 수 없는 시대의 흐름이다. 코로나19 이후 비대면 거래는 더욱 보편화되었고, 이제 많은 사람들이 은행 창구보다 모바일 앱을 더 자주 이용한다. 이러한 변화는 편리함을 가져다주었지만, 동시에 새로운 보안 위협도 불러왔다.

금융당국도 이 문제의 심각성을 인식하고 있다. 모바일뱅킹 보안 가이드라인이 있긴 하지만 이것만으로는 부족하다. 기술의 발전 속도가 너무 빠르고, 해커들의 공격 방식은 나날이 교묘해지고 있기 때문이다.

결국 가장 중요한 것은 사용자의 보안 의식이다. 아무리 강력한 보안 시스템도 사용자가 기본적인 보안 수칙을 지키지 않으면 무용지물이 된다. 우리는 스마트폰 하나로 모든 금융거래를 할 수 있는 편리한 시대를 살고 있다. 하지만 이 편리함을 안전하게 누리기 위해서는 그만큼의 주의와 노력이 필요하다.

더 이상 "내 돈이니까 안전할 것이다"라는 안일한 생각은 버려야 한다. 당신의 스마트폰 속 은행 앱이 지금 이 순간에도 안전한지, 다시 한 번 확인해보는 것은 어떨까?​ 

<ifsPOST>