▲김기창 고려대 법대 교수가 30일 오전 서초동 오픈넷 사무실에서 열린 '금융앱스토어 비판 사이트 차단' 문제점을 발표하고 있다.
김시연
한국인터넷진흥원(KISA)과 통신사들이 제대로 낚였다. 금융결제원에서 만든 '금융앱스토어' 문제를 비판하려고 만든 '패러디 사이트'를 불법 피싱 사이트로 오인해 사흘 동안 강제 차단하는 사태가 벌어진 것이다.
오픈넷(
www.opennet.co.kr)은 30일 오전 서울 서초동 사무실에서 열린 기자간담회에서 이번 사건이 단순 실수가 아니라 국민 기본권을 침해하는 위법 행위라며 금융위원회와 KISA 등을 상대로 사과와 재발 방지를 요구하고 나섰다.
"피싱 가능성 경고하는 사이트가 피싱 사이트?"'금융앱스토어'가 화근이었다. 금융결제원은 지난 23일 국내 17개 은행 모바일 뱅킹용 앱 프로그램들을 한 데 모은 '금융앱스토어(
www.fineapps.co.kr)' 서비스를 시작했다. 구글플레이나 금융사별로 흩어진 앱들을 한꺼번에 관리해 사용자 편의와 안전성을 높이겠다는 취지였다.
하지만 오픈넷을 비롯한 시민사회단체들은 금융거래 앱들을 한 데 모으는 게 오히려 '피싱' 위험을 키울 수 있다며 금융앱스토어 폐지를 요구했다.
실제 한 개발자는 지난 22일 오후 이를 패러디한 '금융 얩스토어'(
www.flneapps.co.kr)를 만들어 피싱 위험을 경고했다. 겉모습은 금융앱스토어와 비슷하지만 앱을 다운받으면 "가짜 앱니다, 이 앱은 정부의 말도 안 되는 보안 정책에 항의하기 위해 만들어졌습니다"라는 문구가 뜨고 '낚이셨습니다'라는 제목의 웹페이지로 연결된다.
이런 사실이 당시 오픈넷과 언론을 통해서도 알려졌지만 금융결제원은 24일 오후 4시쯤 이를 피싱 사이트로 KISA에 신고했다. KISA 역시 이를 제대로 검증하지 않은 상태에서 이날 밤 10시경 통신사에 접속 차단을 요청했다. 이에 따라 SK텔레콤과 LG유플러스는 24일 밤부터 26일 오후 6시(SK텔레콤은 오전 9시)까지 사흘에 걸쳐 이 사이트 접속을 차단했다.
KISA는 단순 실수였다고 해명했다. 이석래 KISA 홍보팀장은 30일 "금융결제원에서 신고가 들어와 일단 통신사에 차단을 요청했고 사이트 분석 결과 문제가 없다고 판단해 10분 뒤에 차단을 해제했다"면서 "SK텔레콤과 LG유플러스는 전달이 제대로 안 돼 2~3일 간 것이고 KT는 차단한 뒤 바로 해제했다"고 밝혔다.
이 팀장은 "신고가 들어오면 먼저 피싱 여부를 분석한 뒤 차단을 요청하는 게 정상적인 프로세서"라면서 "금융권에서 요구하다보니 급히 처리하다 문제가 발생한 것"이라고 책임을 인정했다.
반면 금융결제원은 이날 "24일 오전 금융앱스토어 유사 사이트에서 '가짜 앱' 배포 사실을 발견하고 고객 혼란과 피싱 사이트 제작에 악용될 소지가 있어 KISA에 접속 차단을 요청했다"면서 "가짜 앱에 고객정보 수집 등 악성 기능을 포함하고 있을 것으로 우려했다"고 밝혔다. 하지만 KISA는 해당 앱에선 아무런 문제가 없었고 정보통신망법 위반도 아니라고 밝혔다.
오픈넷은 이번 사건이 단순 실수가 아니라 정책 비판을 차단할 의도가 숨어있다는 데 무게를 싣고 있다. 오픈넷 이사인 김기창 고려대 법학전문대학원 교수는 이날 기자회견에서 "이 사이트는 속이자고 만든 게 아니고 속을 위험을 경고하는 사이트"라면서 "이 페이지가 위험하지 않다는 건 컴퓨터 보안에 관한 전문 지식이 없는 일반인이 보더라도 명백하다"고 밝혔다.
'단순 실수'라는 KISA쪽 해명에 대해서도 김 교수는 "KISA는 10분 만에 유해하지 않은 사이트인 걸 알고 추후에 차단 해제 요청을 발령했다고 주장하는데 통신사에선 해제 요청을 받은 적이 없다면서 사흘 뒤엔 슬그머니 차단을 풀었다"면서 "마치 공범자들이 서로 발뺌하며 책임을 떠넘기려는 상황을 연출하고 있다"고 꼬집었다.
특히 김 교수는 "이번 사건의 경우 화면에 단순히 '접속 오류'만 표시되는 은밀한 방법으로 사이트 접속이 차단됐다"면서 "KISA와 통신망 사업자가 일제히 실수해 정부 정책을 비판하는 사이트를 먹통 만드는 사태가 자꾸 생기지 말라는 법이 어디 있나"라면서 재발 가능성도 경고했다.
"금융앱스토어 의무화? 피싱 위험만 더 키워"