아이폰과 금감원 보안가이드라인

1.
지난 11월 23일 네덜란드 ING은행에서 인터넷뱅킹을 이용하는 고객으로 대상으로 한 두번째 웜바이러스가 발견되었습니다.

애플 아이폰의 경우 사용자 스스로 애플이 인증하지 않은 애플리케이션을 사용하기 위해 내부 잠금장치를 해킹(JAIL-BREAKING)하는 사례가 잇따르고 있다.

지난달 말에는 잠금이 풀린 아이폰으로 네덜란드 ING은행의 인터넷뱅킹 사이트에 접속하는 가입자에게 가짜 인터넷뱅킹 사이트로 연결하는 웜바이러스가 발견돼 업계를 긴장시킨 바 있다. 이 웜은 같은 무선랜 서비스를 이용하는 아이폰을 검색해 전염되는 데다 소스코드가 공개돼 변형판도 등장할 것으로 알려졌다.
금감원, 스마트폰 보안지침 마련… 시장 상황은?에서

다만 ING은행의 대변인은 모든 아이폰에서 문제가 되지 않고 오직 해킹된(Jail Broken iPhone) 아이폰이용자만 대상이다라고 설명하고 있습니다.

New iPhone worm can act like botnet say experts

2.
아이폰을 대상으로 한 웜바이러스가 발생한 상황에서 하나은행을 시작하여 기업은행등 은행들이 아이폰용 뱅킹서비스를 두고 고심고심을 하고 있다고 합니다. 특히 하나은행이 금감원의 보안성 심의를 통과하지 못한 채 서비스를 서둘러 시작하였다고 해서 화제가 되고 있습니다.

아이폰 뱅킹 불안하네
아이폰 뱅킹 보안심의 ‘산 넘어 산’

그러면? 은행은 이처럼 잠재적으로 위험에 노출된 아이폰뱅킹을 적극적으로 서비스하려고 할까요? 국내자료는 아니지만 미국의 어떤 조사시관에서 발표한 자료에서 단서를 찾을 수 있습니다.
사용자 삽입 이미지
Chitika에서 조사한 통계자료입니다. 모바일뱅킹을 이용하는 사용자중 66%가 아이폰이용자입니다.

3.
현재 하나N뱅크가 제공하는 보안은? 공인인증서만을 받아서 처리하는 방식입니다.
사용자 삽입 이미지
사용자 삽입 이미지
2010년 1월에 예정된 금감원의 보안가이드라인이 나오기 전까지 혼란을 어쩔 수 없습니다. 아니 혼란이 있다고 하더라도 시간에 쫓기지 말았으면 합니다. 스마트폰이 데스크탑과 비교할 때 떨어지지 않는 성능을 보여주기때문에 PC와 동일한 수준으로 하자는 의견이 있습니다.

…전문가들은 PC와 비슷한 기능을 갖춘 스마트폰에도 공인인증서는 물론 방화벽과 백신프로그램, 키보드 보안 등 PC수준의 보안 프로그램 설치를 의무화해야 한다는 의견이 꾸준히 제기된다. 감독당국도 이미 내년 1월 중 이러한 내용을 골자로 하는 가이드라인을 마련할 예정이다.

이런 흐름속에서 오픈웹운동을 적극적으로 지원하고 있는 Channy씨는 이 점을 크게 우려하고 있습니다.

한국 인터넷뱅킹을 포기하다

위와 같은 형태로 논의가 진행된다고 ActiveX를 둘러싼 보안논쟁은 더 불붙지 않을 수 없습니다.

금융감독원에 드리는 건의

4.
하나 더.
금감원에서 ‘스마트폰 보안거래 가이드라인’을 만들기 위해 TFT를 구성하였다고 합니다. 그런데 TFT를 구성한 후 2달만에 가이드라인을 만들겠다고 합니다. 사실 가이드라인을 만들겠다고 하면 하루라도 가능합니다.

문제는 다양한 이해당사자가 있고 다른 생각과 비전을 가진 사람들이 있다는 점입니다. ActiveX와 같은 기술이나 특정한 OS를 대상으로 한 가이드라인이 아니라 보편적 서비스로써 금융서비스가 되기 위한 가이드라인이 나와야 한다고 주장하는 그룹입니다.

이자리에서 다루었던 Flash Order, Dark Pools, Sponsored Acces와 같은 이슈에 대한 가이드라인을 만들기 힘들어서 SEC가 몇개월째 의견수렴을 하는 것은 아닙니다.? 가이드라인이 미칠 영향을 고려하여 충분히 의견을 수렴하겠다는 취지입니다.

힘들더라도 돌아가는 것이 더 빠른 길이고 금융산업 및 IT산업을 키울 수 있는 길일 수도 있습니다.

2 Comments

  1. smallake
  2. smallake@nate.com

    아이폰을 비롯한 스마트폰의 보안가이드라인이 어떻게 나올지 궁금합니다. 다만 PC와 같은 방식으로 나올 경우 보안업체에게 새로운 특수인 것만은 확실합니다. 물론 현재와 같은 방식이 옳은지는 차지하고~~~~

    ‘스마트폰’ 모바일 보안 솔루션 개발경쟁 본격화 을 참조
    http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=60586

    Reply

Leave a Comment

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.