내 스마트폰에 깔린 뱅킹앱 얼마나 안전할까

더스쿠프 마켓분석
국내 은행 뱅킹앱 보고서
두번째 지표➋ 보안성ㆍ가독성
서경대 MFS 연구팀 뱅킹앱 분석
인터넷 뱅킹 금융범죄 점차 증가
간편성 악용한 신종 사기 피해 확대
뱅킹앱 ‘개인정보 보호’ 기능 미흡

은행 뱅킹앱이 활성화할수록 필수적으로 갖춰야 할 기능도 늘어나야 한다. 고령층 사용자를 위해선 좀 더 편리하게 뱅킹앱을 사용할 수 있도록 가독성을 높여야 하고, 끊이질 않는 금융 사고를 막기 위해선 보안 기능을 강화해야 한다. 서경대 MFS 연구팀과 15개 뱅킹앱의 가독성과 보안성을 점검해봤다. 어떤 뱅킹앱이 사용하기 편리하면서도 안전할까.

보이스피싱 등 금융범죄가 증가할수록 뱅킹앱의 보안성이 요구되고 있다.[사진=뉴시스]

디지털금융은 편리한 만큼 위험요인도 많다. 누가 볼까 꽁꽁 감춰놓은 개인정보는 공공재마냥 여기저기 유출되기 쉽다. 이를 악용한 보이스피싱의 마수는 언제 누구에게 뻗칠지 예상하기 어렵다. 부지불식간에 나도 피해자로 전락할지 모른다.

그렇다면 국내 은행들이 운영하고 있는 뱅킹앱은 이런 금융사고에서 얼마나 안전할까. 서경대 MFS(Mobile Financial Servi ce) 연구팀이 국내 15개 뱅킹앱의 보안성을 정량적으로 분석했다. 아울러 뱅킹앱을 좀 더 편리하게 이해하고 이용할 수 있는 가독성도 점검했다.

가독성과 보안성 평가항목은 ▲사용자 설정, ▲시각적 피드백, ▲가독성 저하요소, ▲보안기능, ▲금융사고(사기) 예방, ▲개인정보 보호, ▲알림 서비스, ▲송금이체 보안 등 8개다. 항목당 5점 만점을 기준으로 해당 요건을 충족하지 않을 시 1점씩 감점하는 방식으로 평가했다. 가령, 가독성 저하요소 항목에선 배너광고와 팝업광고가 있을 경우 각각 1점씩 깎아 3점을 줬다.

결과는 어떨까.[※참고: 평가는 해당 항목의 여러 연구원이 개인 금융소비자 입장에서 앱을 직접 다루면서 진행했다. 8월 21일까지 업데이트한 내역을 기준으로 삼았고, 모바일 앱 인터페이스(UI)와 사용자 경험(UX)을 중심으로 평가했다.]

12개 시중·지방은행 뱅킹앱 중 가장 높은 점수를 받은 건 KB국민은행과 IBK기업은행이다. 두 뱅킹앱은 나란히 4.5점(이하 5점 만점)을 받았다. 반면 BNK부산은행 뱅킹앱은 3.75점으로 최하위를 기록했다. 인터넷전문은행(3개) 중에선 카카오뱅크가 평균 4.62점으로 1위를, 토스뱅크가 4.25점으로 그 뒤를 이었다. 구체적인 내용은 가독성과 보안성으로 나눠서 살펴보자.

■ 가독성➊ 시중ㆍ지방은행 = 먼저 가독성 평가 결과를 보자. 가독성은 사용자가 뱅킹앱을 편리하게 사용하는 데 무엇보다 중요한 요소다. 단순히 가독성을 높이는 폰트를 사용하는 게 아니라 앱의 기능을 사용자 맞춤으로 설정할 수 있느냐를 중점적으로 평가했다. 이를테면 가독성을 높일 수 있는 요소와 가독성을 저하하는 요소로 나눠 분석했다는 거다.

앞서 말한 8개 항목 중 가독성을 평가한 건 ▲사용자 설정, ▲시각적 피드백, ▲가독성 저하요소다. ‘사용자 설정’부터 보자. 가독성을 높이기 위해 사용자가 뱅킹앱 내에서 설정할 수 있는 건 크게 ‘다크모드’ ‘간편모드’ ‘개인메뉴’ ‘글씨 크기 조절’ ‘계좌 순서 설정’ 등 5가지다. 이중 글씨 크기나 계좌 순서를 조절할 수 있는 기능은 모든 뱅킹앱이 보유하고 있었다.

반면 다크모드, 간편모드, 개인메뉴 설정은 다수의 뱅킹앱에서 지원하지 않았다. 12개 시중·지방은행 뱅킹앱 중 KB국민은행은 3개 기능을 모두 갖추고 있어 만점을 받았지만 나머지는 다크모드, 간편모드, 개인메뉴가 없어 1~2점씩 감점을 받았다. BNK부산은행은 3개 기능이 전부 없어 해당 항목에서 가장 낮은 2점을 기록했다.

가독성 평가를 담당한 김민서 파트장은 “사용자 설정 기능은 가독성을 평가하는 데 가장 중요한 요소”라면서 “최근 오프라인 점포가 줄면서 온라인 기반의 금융거래가 활성화하고 고령인구가 증가함에 따라 해당 기능의 중요성이 커지고 있다”고 말했다.

두번째 평가항목은 ‘시각적 피드백’이다. 이는 메뉴 이동 과정을 눈으로 확인할 수 있는지 여부인데, 이 항목에선 모든 뱅킹앱에서 감점요인이 발견되지 않아 고루 5점을 받았다. 마지막 ‘가독성 저하요소’ 항목에선 배너·팝업광고가 없을 때 5점을 주고, 하나라도 있으면 1점씩 깎았다. 분석 결과 BNK경남은행 뱅킹앱은 하단배너광고가 존재해 1점 감점됐다.

■ 가독성➋ 인터넷전문은행 = 카카오뱅크, 케이뱅크, 토스뱅크는 사용자 설정에서 모두 낮은 점수를 받았다. 시중·지방은행과 달리 3개 인터넷전문은행의 뱅킹앱 내에선 모두 글씨크기를 조절할 수 없었고, 케이뱅크는 다크모드와 개인메뉴, 토스뱅크는 간편모드와 개인메뉴가 없었다. 그 결과 카카오뱅크는 4점, 케이뱅크와 토스뱅크는 각각 2점을 받았다.

김민서 파트장은 “지난 4월 금감원과 산업은행이 고령층의 모바일 금융거래를 위해 ‘스마트시니어’ 앱을 발표했다”면서 “이처럼 앱 사용법을 쉽게 익힐 수 있는 기능을 도입해 변화하는 시대에 소외되는 사람이 없도록 앱이 지속 발전해야 한다”고 말했다.

■ 보안성➊ 시중ㆍ지방은행 = 다음은 보안성 평가다. 뱅킹앱이 점점 활성화하면서 사용자들이 가장 우려하는 건 보안성이다. 보이스피싱과 개인정보 유출 사고가 늘어나면서 뱅킹앱 내 보안 기능과 예방 서비스 유무가 더욱 중요해지고 있다.

금융감독원에 따르면 지난해 보이스피싱(계좌이체형)으로 발생한 피해금액은 1451억원이다. 총 피해규모는 전년(1682억원) 대비 13.7% 감소했지만, 오픈뱅킹·간편송금 등 금융거래의 간편성을 악용한 신종 사기 피해는 해마다 늘고 있다.

특히 인터넷전문은행 계좌를 통한 피해가 커지고 있다. 2020년엔 전체 보이스피싱 피해 규모 중 인터넷전문은행 비중이 2.1%였는데, 2022년 20.9%로 크게 늘었다. 금감원은 “비대면 금융거래의 편의성이 보이스피싱 범죄에 많이 활용되는 측면이 있다”고 그 원인을 분석했다.

유형별로 보면 2020년부터 메신저피싱이 보이스피싱의 주요 범죄로 떠올랐다. 메신저나 SNS 등 비대면 채널을 이용해 가족이나 지인을 사칭한 뒤 개인정보를 탈취하는 방식이다. 악성앱 설치를 유도해 스마트폰을 원격 조종하는 수법도 있는데, 이런 메신저피싱은 2020년 전체 보이스피싱 중 15.9%였지만, 2022년엔 63.9%로 폭증했다. 그만큼 보안성이 중요해지고 있다.

서경대 MFS 연구팀은 뱅킹앱의 보안성을 ▲보안기능, ▲금융사고(사기) 예방, ▲개인정보 보호, ▲알림 서비스, ▲송금이체 보안 총 5개 항목으로 평가했다. 하나씩 보자. 보안기능은 4가지 이상의 잠금 방법이 있는지(인증수단), 잔액 감추기 기능이 있는지, 디지털OTP(One-Time Password)를 제공하는지, 로그인 횟수를 제한하는지, 장기 미접속 시 자동으로 로그아웃이 되는지 여부를 들여다봤다.

그 결과, 패턴인증 기능이 없는 수협은행을 제외하곤 모두 만점을 받았다. 금융사고 예방 서비스는 12개 뱅킹앱이 모두 실행하고 있어 감점 요인이 발생하지 않았다.

개인정보 보호는 어떨까. 이 항목에선 신용등급 조회 알림 서비스, 개인정보 안심 리포트, 송금 의심 거래 감지 서비스 기능이 있는지를 따져봤다. 결과부터 말하면, 대부분의 뱅킹앱이 낙제점을 받았다. 보안성을 평가하는 항목 중 가장 낮은 평균점수가 나왔다. JB전북은행이 4점으로 그나마 가장 높은 점수를 받았다.

KB국민은행(3점)은 개인정보 안심 리포트와 송금 의심 거래 감지 서비스가, IBK기업은행(3점)은 신용등급 조회 알림 서비스와 개인정보 안심 리포트가 없어 각각 2점씩 깎였다. 나머지 9개 은행 뱅킹앱은 3가지 기능이 모두 없어 사이좋게 3점씩 감점돼 5점 만점 중 2점을 받았다.

마지막 송금이체 보안 서비스는 하나은행·신한은행·NH농협은행·BNK경남은행·JB전북은행·광주은행이 안심이체 서비스를 지원하지 않아 각각 1점씩 감점됐고, BNK부산은행은 안심이체 서비스와 입금 계좌 지정 서비스가 없어 총 2점 깎였다.

■ 보안성➋ 인터넷전문은행 = 그럼 인터넷전문은행의 보안기능은 어떤 점수를 받았을까. 인터넷 기반이란 특성상 안심 이체 서비스 등을 기본으로 지원해서인지 인터넷전문은행 3곳의 보안성은 시중·지방은행보다 좋은 평가를 받았다.

보안기능에서 카카오뱅크는 만점을 받았다. 케이뱅크와 토스뱅크가 패턴인증 기능을 갖추고 있지 않아 각각 1점 깎였다. 금융사고 예방 서비스는 시중·지방은행과 마찬가지로 인터넷전문은행도 모두 만점을 받았다.

개인정보 보호는 토스뱅크가 만점, 신용등급조회 알림 서비스가 없는 카카오뱅크는 4점을 받았다. 신용등급조회 알림 서비스와 개인정보 안심 리포트, 송금 의심 거래 감지 서비스 모두 지원하고 있지 않은 케이뱅크는 3점 감점돼 2점을 받았다.

알림 서비스는 카카오뱅크가 만점, 케이뱅크와 토스뱅크가 각각 보이스피싱 계좌 감지 알림 서비스, 금융앱 로그인 오류시 알림 서비스를 하고 있지 않아 1점씩 깎였다. 마지막 송금이체 보안 서비스에서는 토스뱅크만 1점 감점됐는데, 이는 입금 계좌 지정 서비스를 제공하지 않고 있기 때문이었다. 뱅킹앱의 가독성&보안성을 분석한 김민서 파트장은 “뱅킹앱의 부족한 부분을 재정비해 사용자들이 안전한 금융생활을 지속할 수 있길 바란다”고 전했다.

김미란 더스쿠프 기자
lamer@thescoop.co.kr