금융앱스토어 패러디 사이트 차단 사건, 누구의 책임인가

한국인터넷진흥원(이하 KISA)과 금융결제원(이하 금결원)에 의해 SK텔레콤과 LG유플러스 두 개 망에서 금융앱스토어를 비판하는 사이트가 차단됐다 풀리는 사건이 발생했다. KISA가 실수라고 표현하는 이 사건의 앞뒤를 살펴보자.

금융앱스토어의 보안 정책에 항의하는 사이트가 차단됐다

금결원은 2013년 4월 22일 23일 국내 은행들의 스마트폰용 앱을 한곳에 모아 다운로드 받을 수 있게 한 금융앱스토어 fineapps.co.kr 서비스를 시작했다. 이 서비스는 시작되자마자 많은 스마트폰 사용자들과 보안전문가, 언론의 비판에 시달렸다. 금결원은 이 서비스가 편리하고, 안전하다고 홍보하였으나 사용자들로 하여금 스마트폰의 보안 설정을 낮춰야만 서비스를 받을 수 있는 형태였기 때문이다.

(편집자 주: 오픈넷 김기창 교수의 제보에 의하면, 금융앱스토어 공식적인 서비스 개설일은 4월 23일이지만, 실제 개설해서 운영이 시작된 시점은 4월 22일이고, 패러디 사이트 개설 시점도 4월 22일이라고 한다. 이에 4월 23일로 표시된 이왕의 개설 시점 표시는 4월 22일로 정정한다. 수정: 2013년 4월 30일 오후 1:19)

이에 한 개발자가 이러한 ‘금융위원회(이하 금융위)와 금감위의 터무니없는 보안 정책’에 항의하고자 같은 날 패러디 사이트 금융얩스토어 flneapps.co.kr (이하 패러디 사이트)를 공개했다.

KISA는 이 사이트를 “특정 사이트를 사칭한 피싱 사이트”로 분류하여 통신사(ISP, 인터넷 서비스 공급자)에 차단을 요청했고, 실제로 이게 차단된 것이다.

KISA의 상황전파문에 의하면 금융결제원이 패러디 사이트를 차단해 달라고 요청했고, KISA는 통신사에 상황전파문을 보냈고, SKT와 LG유플러스는 패러디 사이트를 차단했고, KT는 차단하지 않았다.

[box type=”info” head=”사건 개요”]

• 4월 22일 – 금융앱스토어 fineapps.co.kr 런칭
• 4월 22일 – 패러디 사이트 flneapps.co.kr 런칭
• 4월 24일 오후 4시 46분 – 금결원이 패러디 사이트 제작자에게 이메일로 연락 시도. 제작자는 연락에 응하지 않음.
• 4월 24일 오후 10시 – KISA가 ISP에게 패러디 사이트를 차단 요청
• 4월 24일 오후 10시 이후 – SK텔레콤과 LG유플러스 네트워크에서 패러디 사이트 차단
• 4월 24일 오후 10시 10분 – KISA가 악성 사이트가 아님을 확인하고 ISP에게 차단 해제를 요청했다고 주장. 반면 통신사는 어떠한 요청도 받지 못했다고 함
• 4월 26일 오전 10시 50분경 – SK텔레콤 DNS 211.234.229.23 에서 차단을 해지
• 4월 26일 오후 18시 10분경 – LG유플러스 DNS 164.124.101.2 에서 차단을 해지

[/box]

KISA의 차단 요청이 적절했는가?

정보통신망법(정보통신망이용촉진및정보보호등에관한법률)에 의하면 KISA는 침해사고에 대한 정보를 수집 및 전파할 수 있고 접속경로의 차단요청을 할 수 있다. KISA는 상황전파문을 보낸 근거로 정통망법 제49조2를 들고 있는데 실제 이 조항은 다른 사람의 정보를 수집하거나 다른 사람이 정보를 제공하도록 유인하는 행위에 대해서 언급하고 있다.

49조의2(속이는 행위에 의한 개인정보의 수집금지 등)
① 누구든지 정보통신망을 통하여 속이는 행위로 다른 사람의 정보를 수집하거나 다른 사람이 정보를 제공하도록 유인하여서는 아니 된다.
② 정보통신서비스 제공자는 제1항을 위반한 사실을 발견하면 즉시 방송통신위원회나 한국인터넷진흥원에 신고하여야 한다.
③ 방송통신위원회나 한국인터넷진흥원은 제2항에 따른 신고를 받거나 제1항을 위반한 사실을 알게 되면 다음 각 호의 필요한 조치를 하여야 한다.
1. 위반 사실에 관한 정보의 수집·전파
2. 유사 피해에 대한 예보·경보
3. 정보통신서비스 제공자에 대한 접속경로의 차단요청 등 피해 확산을 방지하기 위한 긴급조치

하지만, 패러디 사이트는 어떤 개인 정보도 수집하지 않고 사용자의 어떤 권익도 침해하지 않고 있다. 금결원의 보안 정책에 항의할 목적 이외에는 어떠한 불법적인 행위를 하지 않고 있으며 오히려 피싱 사이트로 충분히 이용 가능한 주소를 선점하여 피싱 사이트에 속을 수 있는 사용자들에게 이러한 보안 취약점을 알리는 공익적인 목적까지 충실히 수행하고 있다.

즉, KISA는 잘못된 근거를 들어 보안 정책에 항의하는 사이트를 차단해 달라고 통신사에 요청한 것이다. 실제로 KT는 이 상황전파문을 받고도 패러디 사이트를 차단하지 않았고, SKT와 LG유플러스만 차단했다. 즉, 차단을 요청하고 실제 차단하기 전에 충분히 검토할 여지가 있었음을 알 수 있고, KISA는 검토를 제대로 수행하지 않았다고 할 수 있다.

KISA는 단순히 누군가 ‘저 사이트가 수상한 것 같다’는 이유만으로 사이트를 차단할 수 없다. 게다가 KISA는 우리나라 정보통신의 질서와 안전을 위해 존재하는 기관이며 우리나라의 사이버 안전을 책임지는 기관 아닌가. KISA는 이제 와서 실수였다고 주장하는 모습을 보이고 있는데, 아무런 악성코드나 피싱의 요소가 전혀 없을뿐더러 딱 한번만 링크를 클릭해보고 소스를 확인해 보면 알 수 있는 사이트를 실수로 차단요청을 했다는 것이 믿기 어려울 정도이다. 또한, KISA는 10분 만에 차단 해지를 요청했다는데, 어느 통신사도 그 요청을 받은 적이 없다고 한다. 이것도 실수일까?

금결원은 왜 패러디 사이트를 차단 요청했을까?

KISA는 자의적으로 차단 사이트를 지정할 수도 있지만, 외부에 신고가 들어와서 차단을 요청할 수 있다. KISA가 보낸 상황전파문에 의하면 이 패러디 사이트에 대한 요청은 금융결제원의 요청 때문에 한 것으로 보인다.

앞서 이야기한 것처럼 금결원은 4월 22일에 금융앱스토어 서비스를 공개했고, 이 서비스가 공개되자마자 안드로이드폰을 사용하는 다양한 사용자들의 비판을 받았다. 가장 큰 비판을 받은 점은 바로 이 금융앱스토어를 설치하려면 “알 수 없는 소스”라는 옵션을 활성화해야 한다는 것이다.

안드로이드폰에서 “알 수 없는 소스” 옵션을 켜게 되면 구글의 공식 앱스토어인 플레이 스토어 이외의 사이트에서도 쉽게 앱을 다운로드 받아 설치할 수 있다. 개발자나 스마트폰의 작동 방식에 대해 잘 아는 사람들은 이를 통해 더 다양한 기능을 테스트하고 활용할 수 있으나 일반 사용자들은 아무 앱이나 쉽게 설치할 수 있는 환경이 되니 피싱이나 범죄의 위험에 쉽게 노출된다.

즉, 금결원은 이 금융앱스토어를 피싱을 막기 위해 만들었다고 하지만, 결과적으로 스마트폰의 상세 기능을 잘 모르는 일반 사용자들을 더 큰 위험에 빠지게 만들어 버린 것이다. 마치 일반 PC에서 보안을 위한다며 묻지마 식으로 액티브엑스와 보안 플러그인을 강제로 설치하는 것과 같은 상황이 된 것이다. 패러디 사이트는 이러한 정책에 항의하기 위해 만들어졌다.

위에 있는 사건 개요를 다시 정리해 보자.

[box type=”info”]

• 4월 22일, 금결원은 금융앱스토어 서비스를 시작한다.
• 4월 22일, 이 서비스의 보안 정책이 갖는 심각성을 깨닫고 항의하기 위해 한 개발자가 패러디 사이트를 시작한다.
• 4월 24일 금결원 측은 오후 4시경 패러디 사이트 제작자에게 메일로 연락을 시도했다.
• 개발자는 이에 답변하지 않았고, 몇 시간 후 금결원은 KISA에게 차단 요청을 한다.
• KISA는 금결원의 요청을 받고 초급 웹개발자도 몇 분 만에 알 수 있는 두 페이지짜리 패러디 사이트를 “다른 사람의 정보를 수집하거나 다른 사람이 정보를 제공하도록 유인하는” 피싱 사이트로 결론을 내린다. 그리고 이 사이트를 차단하라고 통신사에 협조문을 발송한다.
• KISA는 바로 실수를 깨닫고 10분 만에 다시 차단해제를 요청했다. 하지만 이 요청을 받은 통신사는 없다.
• 결국, 이 패러디 사이트는 3일간 SK텔레콤과 LG유플러스 네트워크에서 접속 불가 상태가 됐다.

[/box]

이쯤 되면 궁금해진다. 어디까지가 해프닝이고 어디까지가 의도인 걸까.

잘못된 보안 정책이 표현의 자유까지 막고 있다

오픈넷의 김기창 이사는 이 사건에 대해 “터무니없는 보안 정책에 항의하기 위해 만든 사이트에 상을 주지 못할지언정 차단했다는 것은 코미디”라고 하면서 “현재의 온라인 인터넷도 공인인증서 때문에 액티브엑스나 플러그인을 묻지마 설치하게 만드는 상황인데, 금융앱스토어는 이걸 다시 모바일에서 되풀이하겠다는 것”이라고 말했다.

오픈넷의 김보라미 이사는 “이 패러디 사이트 차단 건은 금융결제원의 공인인증서 및 액티브엑스 강제 문제, 망중립성 문제, 소비자 문제, 접속권 이슈 등 현재 한국 인터넷의 고질적인 문제를 한꺼번에 보여주는 종합선물세트 같은 사건”이라고 표현했다.

흥미로운 사실은 금결원은 심지어 국가기관도 공기업도 아니라는 점이다. 금결원은 은행들이 출자해 세운 사단법인으로 금융위의 규제와 감독을 받는 피감 기관 중 하나이다. 하지만 금융위는 자신들이 규제와 감독을 해야 하는 금결원의 서비스를 공식 블로그에 대신 홍보를 해주고 있으며 댓글로 사용자들의 반응들을 대신 받아주는 역할까지 하고 있다. 패러디 사이트를 만든 제작자가 “금융위와 금결원의 터무니없는 보안 정책”이라고 표현한 것도 이 때문이지 않을까.

이 일로 인해 정부와 정부 관련 기관이 시행하는 정책에 반대하거나 비판을 하면 언제든지 실수로 사이트가 차단될 수 있는 시대가 된 것이라고 이야기하면 과장된 결과라 할 수 있다. 하지만 복잡한 트릭이 있는 것도 아니고, 두 페이지짜리 링크 몇 개로 이루어진 패러디 사이트가 패러디의 대상이 된 단체와 사이버 안전을 책임지는 국가기관에 의해 실수로 차단된 건 어떻게 해석해야 할까.

이 모든 일련의 과정이 어디까지 실수였고 어디까지가 의도를 가진 것인지는 알 수 없으나 이 문제에 관심을 두고 지켜보는 사람들을 황당하게 만든 사건임에는 분명하다.