-
저축은행업계에서 비대면 영업이 활성화되고 있는 가운데 모바일뱅킹 앱에 대한 리스크 관리 필요성이 제기되고 있다. 모바일뱅킹 앱에서 여러 취약점이 발견됐기 때문이다. 저축은행들이 시스템 점검과 평가관리 강화를 통해 고객 개인 정보 보호에 힘써야 한다는 지적이 나온다.
26일 금융감독원에 따르면 대신저축은행은 이달 중순 스마트폰 앱 이용자 중요정보보호대책 문제 등으로 경영 유의 및 기관 개선 권고 조치를 받았다.
지난해 금감원이 자체 전산망을 활용하는 저축은행을 대상으로 모바일뱅킹 앱을 들여다본 결과 대신저축은행에서 여러 취약점이 발견됐기 때문이다. 현재 79개 저축은행 중 12개 저축은행은 자체 전산망을, 나머지 67개 저축은행은 저축은행중앙회의 통합전산망을 활용하고 있다.
대신저축은행은 모바일뱅킹 앱의 부실한 시스템과 미흡한 고객 정보보호 대책 등으로 6개 사항을 지적받았다.
스마트폰 앱에서 이용자 본인 인증 시 촬영된 사진을 암호화해 서버로 전송하고 보안 키패드를 적용하고 있으나, 중요 정보가 스마트폰에 평문으로 임시 저장되고 있어 악성코드가 설치돼 있을 때 정보 유출 우려가 있다는 것.
이에 따라 촬영 시 중요 정보를 마스킹 처리하고, 메모리 초기화 등 메모리 보호 기법을 적용해 이용자의 중요정보가 노출되지 않도록 관련 프로그램을 개선할 필요가 있다는 게 금감원의 지적이다.
이상 금융거래 탐지시스템 운영도 미흡했다. 탐지되는 이상 금융거래 로그에 대한 분석, 보고 및 고객 확인 절차 등의 조치를 이행하고 있지 않아 실제 이상 금융거래 상황 발생 시 즉각적인 대응에 어려움이 예상된다는 지적이다. 모니터링 절차를 마련하고, 탐지된 이상 금융거래에 대한 분석 등의 결과를 책임자에게 보고하는 등 운영 방식을 개선할 필요가 있다는 얘기다.
스마트폰 앱 위변조 방지대책도 허술하게 운영되고 있었다. 스마트폰 앱에 대해 실행파일의 일부분만 무결성 검증을 적용해 악의적인 공격자에 의해 위변조되고, 실행될 우려가 있다는 것. 이에 따라 무결성 검증절차를 실행파일 전체영역으로 확대적용 하는 방식으로 대책을 강화해야 한다는 게 금감원의 설명이다.
대신저축은행은 고객 정보 변경 시 본인인증 절차를 개선해야 한다는 지적도 받았다. 고객 정보 변경 시 통신사를 통해 휴대폰 명의자와 계좌 소유자의 일치 여부를 확인하고, 인증절차를 수행하는 도중 메뉴를 변경할 경우 인증정보를 초기화하는 작업이 필요하다는 지적이다.
앱의 취약점에 대한 분석과 평가·관리도 부실한 것으로 나타났다. 취약점에 대한 조치계획 수립 시 구체적인 검토 없이 조치 이행기한을 변경하는 등 장기간 미조치된 취약점에 대한 보안 위험이 커질 우려가 있는 상태다. 조치결과의 적정성도 확인하지 않아 유사 취약점이 재발견되는 등 전반적으로 관리가 미흡한 것으로 전해진다.
취약점 조치 내용의 적정성을 점검해 조치결과의 완결성을 확인하는 것은 물론 평가 등 관리 절차를 개선할 필요가 있다는 지적이다.
저축은행 업계가 최근 비용절감과 고객 편의성을 확대하는 차원에서 앱을 통한 비대면 영업에 나서고 있는 만큼 고객 개인정보의 철저한 관리가 요구되는 시점이다.
금융감독원 관계자는 “모바일뱅킹 앱을 활용하는 금융사들이 위변조 등의 리스크에 노출될 수 있어 관련 내용을 집중적으로 점검하고 있다”며 “조만간 저축은행 업계에 모바일 앱 운영과정에서의 유의사항을 전달할 계획”이라고 말했다.