큰사진보기
|
| ▲ 김기창 고려대 법대 교수가 30일 오전 서초동 오픈넷 사무실에서 열린 '금융앱스토어 비판 사이트 차단' 문제점을 발표하고 있다. |
| ⓒ 김시연 |
관련사진보기 |
한국인터넷진흥원(KISA)과 통신사들이 제대로 낚였다. 금융결제원에서 만든 '금융앱스토어' 문제를 비판하려고 만든 '패러디 사이트'를 불법 피싱 사이트로 오인해 사흘 동안 강제 차단하는 사태가 벌어진 것이다.
오픈넷(
www.opennet.co.kr)은 30일 오전 서울 서초동 사무실에서 열린 기자간담회에서 이번 사건이 단순 실수가 아니라 국민 기본권을 침해하는 위법 행위라며 금융위원회와 KISA 등을 상대로 사과와 재발 방지를 요구하고 나섰다.
"피싱 가능성 경고하는 사이트가 피싱 사이트?"'금융앱스토어'가 화근이었다. 금융결제원은 지난 23일 국내 17개 은행 모바일 뱅킹용 앱 프로그램들을 한 데 모은 '금융앱스토어(
www.fineapps.co.kr)' 서비스를 시작했다. 구글플레이나 금융사별로 흩어진 앱들을 한꺼번에 관리해 사용자 편의와 안전성을 높이겠다는 취지였다.
하지만 오픈넷을 비롯한 시민사회단체들은 금융거래 앱들을 한 데 모으는 게 오히려 '피싱' 위험을 키울 수 있다며 금융앱스토어 폐지를 요구했다.
실제 한 개발자는 지난 22일 오후 이를 패러디한 '금융 얩스토어'(
www.flneapps.co.kr)를 만들어 피싱 위험을 경고했다. 겉모습은 금융앱스토어와 비슷하지만 앱을 다운받으면 "가짜 앱니다, 이 앱은 정부의 말도 안 되는 보안 정책에 항의하기 위해 만들어졌습니다"라는 문구가 뜨고 '낚이셨습니다'라는 제목의 웹페이지로 연결된다.
이런 사실이 당시 오픈넷과 언론을 통해서도 알려졌지만 금융결제원은 24일 오후 4시쯤 이를 피싱 사이트로 KISA에 신고했다. KISA 역시 이를 제대로 검증하지 않은 상태에서 이날 밤 10시경 통신사에 접속 차단을 요청했다. 이에 따라 SK텔레콤과 LG유플러스는 24일 밤부터 26일 오후 6시(SK텔레콤은 오전 9시)까지 사흘에 걸쳐 이 사이트 접속을 차단했다.
KISA는 단순 실수였다고 해명했다. 이석래 KISA 홍보팀장은 30일 "금융결제원에서 신고가 들어와 일단 통신사에 차단을 요청했고 사이트 분석 결과 문제가 없다고 판단해 10분 뒤에 차단을 해제했다"면서 "SK텔레콤과 LG유플러스는 전달이 제대로 안 돼 2~3일 간 것이고 KT는 차단한 뒤 바로 해제했다"고 밝혔다.
이 팀장은 "신고가 들어오면 먼저 피싱 여부를 분석한 뒤 차단을 요청하는 게 정상적인 프로세서"라면서 "금융권에서 요구하다보니 급히 처리하다 문제가 발생한 것"이라고 책임을 인정했다.
반면 금융결제원은 이날 "24일 오전 금융앱스토어 유사 사이트에서 '가짜 앱' 배포 사실을 발견하고 고객 혼란과 피싱 사이트 제작에 악용될 소지가 있어 KISA에 접속 차단을 요청했다"면서 "가짜 앱에 고객정보 수집 등 악성 기능을 포함하고 있을 것으로 우려했다"고 밝혔다. 하지만 KISA는 해당 앱에선 아무런 문제가 없었고 정보통신망법 위반도 아니라고 밝혔다.
오픈넷은 이번 사건이 단순 실수가 아니라 정책 비판을 차단할 의도가 숨어있다는 데 무게를 싣고 있다. 오픈넷 이사인 김기창 고려대 법학전문대학원 교수는 이날 기자회견에서 "이 사이트는 속이자고 만든 게 아니고 속을 위험을 경고하는 사이트"라면서 "이 페이지가 위험하지 않다는 건 컴퓨터 보안에 관한 전문 지식이 없는 일반인이 보더라도 명백하다"고 밝혔다.
'단순 실수'라는 KISA쪽 해명에 대해서도 김 교수는 "KISA는 10분 만에 유해하지 않은 사이트인 걸 알고 추후에 차단 해제 요청을 발령했다고 주장하는데 통신사에선 해제 요청을 받은 적이 없다면서 사흘 뒤엔 슬그머니 차단을 풀었다"면서 "마치 공범자들이 서로 발뺌하며 책임을 떠넘기려는 상황을 연출하고 있다"고 꼬집었다.
특히 김 교수는 "이번 사건의 경우 화면에 단순히 '접속 오류'만 표시되는 은밀한 방법으로 사이트 접속이 차단됐다"면서 "KISA와 통신망 사업자가 일제히 실수해 정부 정책을 비판하는 사이트를 먹통 만드는 사태가 자꾸 생기지 말라는 법이 어디 있나"라면서 재발 가능성도 경고했다.
"금융앱스토어 의무화? 피싱 위험만 더 키워"
큰사진보기
|
| ▲ 금융결제원에서 운영하는 금융앱스토어(왼쪽)과 한 개발자가 피싱 위험을 경고하려고 패러디해 만든 '금융얩스토어' |
| ⓒ 김시연 |
관련사진보기 |
오픈넷, 경실련 소비자정의센터, 진보네트워크, 고려대 법학전문대학원 공익법률상담소 등 시민사회단체와 이종걸 민주통합당 의원은 이날 공동성명에서 "정부 정책의 잘못을 지적하고 비판한다는 이유로 사이트 접속을 차단한 정부 행위는 도저히 묵과할 수 없다"면서 금융위원회와 KISA 등에 재발 방지 조치와 금융앱스토어 폐지를 촉구했다. 아울러 KISA에 대한 견제와 감독 강화도 요구했다.
현재 KISA는 '정보통신망을 통하여 속이는 행위로 다른 사람의 정보를 수집하거나 다른 사람이 정보를 제공하도록 유인하여서는 아니된다'는 정보통신망법 제49조2를 근거로 피싱 사이트 접속 차단 등 '긴급조치'를 요구하고 있다.
오픈넷 박지환 변호사는 "금융앱스토어 비판 사이트는 다른 사람 정보를 수집하거나 다른 사람이 정보를 제공하도록 유인하지 않았는데 이를 전제로 긴급조치를 위한 KISA 행위는 위법이고 이를 신고한 금융결제원과 통신사도 과실 책임이 있다"면서 "29일 KISA와 이들 업체에 사실관계 확인을 요구하는 협조 및 재발방지 권고문을 발송했고 사실관계에 따라 법적 대응 등을 검토하겠다"고 밝혔다.
금융앱스토어 문제도 다시 도마에 올랐다. 김기창 교수는 "안전한 금융 앱만 통합적으로 올려놓아 안전하다고 하는데 피싱은 다른 사이트로 유도해 온갖 나쁜 짓을 하는 것"이라면서 "한곳에 모아놓을수록 피싱 위협은 더 커진다"고 지적했다. 실제 '낚시'라는 뜻의 '피싱'은 금융기관과 유사한 가짜 사이트를 만든 뒤 접속한 고객 정보를 빼앗거나 악성코드를 유포하는 수법이다.
금융앱스토어가 내세우는 스마트폰 공인인증서 원격 삭제 기능에 대해서도 "공인인증서 자체가 이미 분실 상황에 대비해 사용자가 인증서를 폐기하면 모든 금융 거래에 실시간 적용된다"면서 "오히려 금융앱스토어가 해킹 당하면 해커가 원격 삭제 기능을 신청한 사용자들 스마트폰에 접근해 공인인증서를 가져갈 우려도 있다"고 지적했다.