금융앱스토어 비판사이트 서둘러 차단..'기본권 침해' 비판

금융결제원의 성급한 차단요청
해킹전문가 집단인 KISA의 실수
통신사의 늑장 대응

등록 2013-04-30 오후 5:39:35

수정 2013-04-30 오후 6:57:52
가 가

[이데일리 김상윤 기자] 금융앱스토어의 보안 위험성을 알리기 위해 개설된 유사사이트 ‘금융얩스토어’가 피싱사이트로 간주돼 접속이 차단된 것과 관련 책임 소재가 분분하다. 특히나 위해사이트를 차단하는 과정에서 인터넷망 사업자들과 정부당국 간 유기적인 의사소통 없이 성급하게 조치가 취해지고 있다는 비판이 제기된다.

사단법인 오픈넷은 30일 기자회견을 열고 “금융앱스토어 비판 사이트가 개인정보 수집을 목적으로 하거나 피싱을 하는 사이트가 아닌데도 한국인터넷진흥원(KISA)이 피싱사이트로 간주해 통신사에 접속 차단을 요청했다”면서 “관계 당국이 은밀히 개입한 것으로 보이는 만큼 국민 기본권의 중대한 침해”라고 강하게 비판했다.

금융 앱스토어 서비스는 국민·우리·신한 등 국내 17개 은행의 스마트폰 애플리케이션(앱)을 한곳에서 내려 받을 수 있는 창구다. 은행의 공식 애플리케이션을 금융결제원이 서비스하는 금융 앱스토어 앱에 모아 위·변조 앱의확산을 차단하겠다는 취지로 지난 23일 개설됐다.

하지만 금융앱스토어(www.fineapps.co.kr)가 되려 보안이 취약하다는 지적이 일면서 다음날 24일 오전 유사사이트인 ‘금융앱스토어(www.flneapps.co.kr)’가 나왔다. 한 개인이 만든 사이트로 금융앱스토어의 보안 취약을 경고하는 내용을 담고 있다. 하지만 이 사이트가 사흘간 차단되면서 ‘국민 기본권 침해’라는 논란이 불붙고 있다.

금융결제원, 피싱 악용우려로 차단

금융결제원은 24일 오전 금융앱스토어 유사사이트가 배포된 사실을 발견하고 같은날 16시경 KISA에 IP 접속차단을 요청했다. 금융거래 고객 혼란과 피싱사이트 제작에 악용될 소지가 있다는 이유에서다.

하지만 금융결제원의 차단 요청이 성급했다는 비판이 제기된다. 정보통신망법 제49조2 제1항에 따르면 속이는 행위로 다른 사람의 정보를 수집하거나, 다른 사람이 정보를 제공하도록 유인해서는 아니된다는 조항이 있다. 단지 유사한 웹사이트 형식을 갖춘다고 해서 할 수 없다는 얘기다. 특히나 차단요청은 신고와 다른 개념으로 당사자의 판단이 작용한다. 금융결제원의 판단이 지나쳤다는 지적이다.

이에 대해 유한상 금융결제원 전자금융부 모바일업무팀 부부장은 “유사사이트가 이미지 등 악성코드가 있는지 분석할 필요가 있어 KISA에 요청한 것”이라면서 “판단 주체는 KISA에 있을뿐 우리는 차단 요청이 중요하다고 판단했다”고 설명했다.

KISA, 판단착오 시인

KISA가 금융결제원으로부터 차단 요청을 받은 후 통신사에 해당사이트 차단 요청 공문을 보낸 것은 당일 오후 10시다. 신고를 받은 후 6시간이 지난 시점이다. 이 공문에 따르면 ‘얩스토어’는 피싱이라는 이유로 도메인을 차단 목록에 포함돼 있다.

결국, 보안전문가 집단이 KISA가 6시간 동안 피싱사이트 구별조차 제대로 못했다는 비판이 제기된다.

오픈넷 상임이사인 김기창 고려대 교수는 ”‘금융얩스토어’가 다른 사람의 정보를 수집한 적도 없고, 다른 사람이 정보를 제공하도록 유인하지도 않았는데 긴급조치를 내린 KISA의 행위는 위법하다“고 지적했다.

이에 유동영 KISA 종합상황대응팀장은 “당시 ‘금융앱스토어’ 사이트를 분석하는 과정에서 판단오류로 차단요청 목록에 포함시킨 것이 실수였다“면서 ”이를 확인하자마자 10분후에 통신사에 정정요청 공문을 보내고 전화로도 재확인했다“고 해명했다.

정정요청이 처리됐는지 여부를 확인하지 않은 것에 대해선 “일일이 (처리여부를) 확인하지 않은 것에 대해 부족했던 점이 있었다“면서 ”26일 다시 확인해서 정정요청을 했다“고 덧붙였다.

통신사, 차단 해제 늦어

KISA측에 따르면 통신사는 차단요청이 오면 바로 긴급조치를 취해야 한다. 단, 시스템이 자동이 아닌 수동으로 이뤄지는 만큼 통신사마다 시차가 발생한다. 오픈넷에 따르면 SK텔레콤과 LG유플러스는 24일경부터 사이트를 차단했다. KT(030200)측은 KISA의 차단요청을 제대로 확인 못한 것으로 알려졌다.

하지만 차단 해제는 SK텔레콤은 26일 오전 9시경, LG유플러스는 26일 오후 6시경 이뤄졌다. KISA가 10분만에 정정요청을 했지만, 즉각 이뤄지지 않은 것이다.

통신사 측은 의사소통 과정에서 오류가 있었다고 해명했다. KISA로부터 정정 요청을 제대로 받지 못했다는 것. 이메일로 관련 공문을 받았지만, 전화 연락 등 확실한 의사소통을 하지 못해 적절한 대응을 못했다는 설명이다. 통신사 관계자는 “KISA쪽에서 취소요청과 관련해 담당자와 의사소통 문제가 발생했었다”면서 “문제가 확인된 이후 조치를 취했다”고 설명했다.