탈옥폰에서 인터넷 뱅킹
아이폰은 탈옥을 하면 기능이 몰라보게 달라진다. 외관도 화려해 지고 순정에는 없는 편리한 기능도 추가할 수 있다. iOS의 기능 중 상당수는 탈옥에서 왔다고 해도 과언이 아닐 정도다. 이렇기 때문에 많은 사람들이 탈옥을 한다. 그런데 탈옥을 하면 울며 겨자 먹기로 포기해야 하는 것이 있다. 바로 '인터넷 뱅킹'이다. 그런데 시스템 API를 사용할 수 없는 순정 어플이 탈옥을 정교하게 감지하기는 힘들다. 이런 이유로 탈옥 감지를 우회해 주는 시디어 어플(HideJB 아님)을 설치하면 탈옥폰에서도 금융 어플(은행 어플)을 사용할 수 있다. 이 글에서는 탈옥폰의 보안과 주의점, 탈옥폰에서 인터넷 뱅킹을 하는 방법을 다룬다.
탈옥폰의 보안
'나는 탈옥폰으로 인터넷 뱅킹을 하지 않는다'. 그 이유는 간단하다. 탈옥한 폰에는 사용자가 모르는 보안 위험이 존재할 수 있기 때문이다. 그렇다고 해서 아이폰으로 인터넷 뱅킹을 아예 안하는 것도 아니다. 정 필요하면 조금 불편하지만 원격 연결->VMWare
를 통해 인터넷 뱅킹을 한다. 그러나 이처럼 인터넷 뱅킹을 사용하는 사람은 드물다. 따라서 탈옥한 사용자들에게 가장 많이 받는 질문 중 하나가 인터넷 뱅킹(은행 어플)이다. 그러나 탈옥폰에서 인터넷 뱅킹을 사용할 때는 다음 사항을 꼭 주의해야 한다.
- 탈옥폰, 배터리가 광속으로 단다면?이라는 글을 읽고 '루트 비밀번호를 바꾸기' 바란다.
- 공식적인 시디어 리포 이외의 리포로는 어플을 설치하지 않는다.
- Installous를 통한 크랙 어플은 될 수 있는 한 설치하지 않는다[1].
- '3G'망이나 '자기 와이파이' 망에서만 금융 어플을 사용한다.
- 잔금이 많은 주거래 은행 보다는 적은 금액을 입출금하는 보조 은행만 사용하는 것이 좋다.
"탈옥을 하면 보안상 위험하느냐?"라는 질문을 종종 받는다. 탈옥하면 보안상 위험한 것은 분명한 사실이다. 따라서 IT에 대한 지식이 없는 사람의 탈옥에 대한 질문은 아예 받지 않는다. 또 탈옥하지 말고 순정폰을 쓰라고 권고하고 있다. 이전에 올린 글에서 알 수 있지만 PC(Personal Computer)에서는 1996년 이후[2] 바이러스에 걸린 적이 거의 없었다. 그러나 아이폰(iPhone)에서는 얼마 전 바이러스에 걸렸다. 이 글에 붙은 댓글 중 하나가 '도아님처럼 관리하면 걸리지 않을 것으로 생각했었다'는 것이다. 그런데 누구나 실수는 한다.
'탈옥폰을 쓴다'는 것은 CCTV가 설치된 하나의 출입구를 CCTV가 없는 여러 개의 출입구를 만드는 것과 같다. 즉, 드나들기는 더 쉽지만 감시하기는 더 힘들다. 또 어느 정도 보안이 생활화된 사람도 깜빡 실수하면 뚫릴 수 있는 위험이 있다. 따라서 탈옥폰을 쓸 때 가장 좋은 방법은 CCTV가 없는 출입구 - 신뢰할 수 없는 소스, 크랙된 어플등 - 를 최대한 줄이는 것이다. 참고로 최근 필요에 의해 SSH를 설치해 두고 있다. 그러나 루트 암호는 이미 바꾼 상태고 SSH 역시 필요할 때만 SBSettings를 이용해서 잠깐 켜고 사용한다.
스마트폰 백신?
아이폰은 안드로이드에 비해 구조적으로 더 높은 보안성을 유지하고 있다. 또 어플 관리 역시 하나의 통일된 체계를 가지고 있다. 따라서 보안면에서는 안드로이드 보다 아이폰이 확실히 잇점이 있다. 그런데 탈옥을 하면 아이폰의 보안은 안드로이드 수준으로 떨어진다. 안드로이드는 시스템 API를 접근할 수 있다. 또 임의의 소스로 부터 어플을 설치할 수 있다. 이런 부분 때문에 사용하기에는 상당히 편하지만 보안에는 훨씬 더 위험하다. 또 아이폰에는 없는 백신 프로그램이 안드로이드 폰에 많은 것도 이런 이유다.
심지어 인터넷의 양대 쓰레기로 불리는 알약과 '엔프로텍트'도 안드로이드에는 백신이 존재한다. 아울러 워낙 사람들이 싫어 하는 프로그램들이라 퇴출 운동까지 있었다. 아무튼 탈옥폰(Jailbreaked Phone)에서 인터넷 뱅킹을 사용하려고 한다면 위에서 설명한 보안 위험을 충분히 숙지하고 사용해야 한다. 아울러 탈옥폰에서 인터넷 뱅킹을 사용하며 벌어질 수 있는 모든 위험과 책임은 자신에게 있다는 것을 알고 시도하기 바란다.
엔프로텍트 개발자와 주고 받은 트윗터 메시지다. nProtect와 알약을 바이러스라고 하자 'Viruts가 아니라 Anti-Virus 겠지요'라고 답한다. 그리고 '함의'를 이해하지 못했다고 하자 슬그머니 언팔했다. 우리나라 IT 업계 3대 쓰레기는 네이버, 이스트, 잉카인터넷이다.
탈옥폰 인터넷 뱅킹
탈옥폰에서 인터넷 뱅킹하는 방법은 여러 가지가 있다. 일단 탈옥을 하면 앱 스토어(Apps Store)가 아니라 임의의 소스로 부터 어플을 설치할 수 있다. 심지어 개발자가 만든 어플을 변경해서 설치하는 것도 가능하다. 초기에 등장한 탈옥폰용 은행 어플은 모두 이런 방법으로 금융 어플을 패치한 어플이었다. 그런데 이 방법에는 한 가지 문제가 있다. 금융 어플을 판올림을 하면 바로 무력화 된다는 점이다.
탈옥을 감지하는 방법은 여러 가지가 있다. 그러나 시스템 API를 이용할 수 없는 어플은 탈옥을 정교하게 감지하지 못한다[3]. 즉, 어플이 탈옥을 감지하는 방법이 단순할 수 밖에 없다. 따라서 어플이 탈옥을 감지하는 방법을 알고 있다면 쉽게 속일 수 있다. 바로 이런 아이디어로 등장한 어플이 탈옥을 속이는 트윅이다. 이런 어플의 장점은 '판올림되도 계속사용할 수 있다'는 점이다. 이런 어플로 알음 알음 알려져 있는 어플이 HideJB다. 또 얼마 전 리포에서 사라진 kBankTweak도 금융권 어플에 특화된 HideJB로 보면 된다.
HideJB는 개발자가 우리나라 사람이기 때문에 거의 모든 금융 어플을 지원한다. 유료 어플(3불)이지만 이런 잇점 때문에 꽤 많은 사람들이 사용하는 것 같다. 다만 HideJB는 어떤 일 때문인지 몰라도 현재 판매 중지된 상태다. kBankTweak은 예전에 소개한 다른 금융 어플처럼 금융결제원에서 걸고 들어와 개발이 중단된 상태다. 따라서 탈옥한 iOS 5.1.1을 사용하며 금융 어플을 사용하려는 사람에게는 남은 방법이 많지 않다.
xCon과 xCon Alias
그러나 크게 걱정할 필요는 없다. 탈옥폰에서는 실행이 금지된 어플이 국내에만 있는 것이 아니기 때문이다. 이 때문에 시디어 공식 리포에는 HideJB와 비슷한 xCon이라는 어플이 올라와 있다. 다만 외국에서 개발된 어플이기 때문에 국내의 모든 금융 어플을 지원하지는 않는다. 내가 시험해 본 은행은 블로그 기부금을 받을 때 사용하는 우리은행만 시험해 봤다. 다만 개발자가 '동작하지 않는 어플을 보고해 주면 다음 판에 지원해주겠다'고 하고 있다. 따라서 사용해 보고 동작하지 않는 어플은 개발자에게 보내 지원될 수 있도록 하는 것도 한 방법이라고 생각한다.
xCon을 설치하는 방법은 쉽다. 시디어(Cydia)를 실행하고 xCon을 검색해서 설치하면 된다. 시디어 공식 리포 중 하나인 Modmyi.com에 올라와 있는 어플이다. 따라서 네트워크 오류가 아니라면 바로 설치할 수 있다. 또 설치해도 어떤 아이콘을 만들지 않으며 설정에도 찾을 수 없다. 즉, 탈옥을 숨기는 어플이기 때문에 순정 어플이 접근할 수 있는 곳에는 흔적을 남기지 않는 것 같다[4]. 물론 어플의 성격상 Mobile Substrate 확장으로 설치되기 때문에 MobileSubstrate/DynamicLibraries
폴더에 xCon.dylib, xCon.plist 파일이 설치된다.
왼쪽은 시디어에 올라온 가장 최근판, 36이고 오른쪽 개발자 리포에 올라온 베타판이다. 가운데 그림을 보면 알 수 있지만 시디어를 통해 앱을 보내는 것도 가능하ㄷ.
지원목록
xCon은 @unimp0rtanttech이 개발 배포하는 시디어 어플이다. xCon에서 지원하는 공식적인 어플의 목록은 다음과 같다. Modmyi.com 포럼과 xCon의 개발 이력에서 가져온 목록이다. 아울러 이 목록에 없는 어플도 탈옥 감지 방법이 같다면 실행된다. 또 지원하지 않는 어플은 n00neimp0rtant@me.com로 메일을 보내도 되고 GitHub 게시판을 통해 보고해도 된다. 또 xCon을 검색해 보면 xCon Alias라는 앱도 찾을 수 있다. 동일한 리포에 올라왔으며 현재 '2불'에 판매되는 어플이다. 이 어플은 '특정 어플에 대한 지원을 최신으로 유지'시켜준다. 즉, 사용자가 어플 지원을 요청하면 'xCon Alias'를 통해 일단 지원하고, 나중에 정식으로 'xCon'에서 지원하는 형태다.
- AlwaysOnPC, Barclays Pingit, Cablevision, Capital One UK, Cox, DirecTV Nomad, DirecTV iPad, Flixster, iBooks, Good for Enterprise, Kaching, Lovefilm, McAfee EMM, SkyGo, Skype, Square, Telus Optik TV , Time Warner, Verizon FlexView, Voddler
지원요청
현재 Modmyi.com 리포에 올라온 xCon은 36이다. 그러나 http://n00neimp0rtant.dyndns.org/repo에서는 조금 더 많은 어플을 지원하는 37 Beta2를 설치할 수 있다. 또 개발자의 전자우편(n00neimp0rtant@me.com)이나 GitHub를 통해 보고할 때는 다음과 같은 정보를 함께 보내 달라고 한다. 마지막으로 xCon은 저작권을 침해할 수 있는 '크랙 검출 우회 트윅'이 아니라는 점을 강조하고 있었다.
- 어플의 이름
- 오류 화면이나 받은 알림
- IPA 파일의 링크. 특히, 미국 계정으로 받을 수 없다면 꼭.
우리은행
참고로 우리은행은 'xCon Alias' 없이 'xCon'(36)만으로 잘 실행되었다. 따라서 다른 은행은 'xCon'으로 실행해 보고 지원되지 않는다면 'xCon Alias'를 구매하는 것도 좋은 방법이라고 생학한다. 'xCon Alias'도 Mobile Substrate 확장으로 설치되기 때문에 SBSettings에서 켜고 끌 수 있다. 다음은 xCon을 설치하고 우리은행 어플을 실행한 결과다. 아울러 이 글을 읽는 사람들은 각자 금융 어플(은행, 옥션과 같은 쇼핑몰 어플등)을 실행해 보고 그 결과를 댓글로 달아주면 더 좋을 것 같다. 물론 은행 어플의 이름만 쓸 것이 아니라 자신이 사용한 xCon의 버전도 함께 적어 주면 더 좋을 것 같다.
xCon을 설치하기 전에는 가장 왼쪽 그림처럼 '안내' 메시지가 뜬다. 'xCon' 설치하고 실행하면 가운데 그림처럼 정상적인 창이 나타난다. 이체는 해보지 않았지만 조회까지는 문제없이 진행됐다.
참고로 다른 은행 어플도 가능한지 확인하기 위해 농협 어플(NEW)을 사용해 봤다. 처음 실행하면 탈옥폰이라는 오류가 뜨지만 무시하면 인증서 가져오기 까지 가능했다. 그러나 조회 시도하면 다시 인증서 암호를 묻고 인증서 암호를 입력하면 '탈옥'폰이라는 메시지가 떴다. 따라서 농협은 어플 실행할 때 외에 서버에도 관련 정보를 보내 검증하는 것이 아닌가 추정하고 있다.
지원은행
참고로 댓글과 페이스북, 트위터로 올라온 의견을 종합해 보면 신한S뱅크, 우체국, 농협, 하나은행은 안된다고 한다. 또 KB뱅킹은 되지만 올레인증서를 가져오지 못해 조회만 가능하다고 한다. 마지막으로 기업은행, 동양증권은 가능하다고 한다.
남은 이야기, nProtect
나도 한번 다루려고 했었던 프로그램이 바로 nProtect다. 알시리즈와 함께 지구상에서 사라져야 할 프로그램 중 하나다. 재미있는 것은 악명이 자자한 이 두 프로그램이 승승장구하고 있다는 점. 다음은 엔프로텍트에 관련된 글이다. 모두 한번씩 읽어 보기 바란다. 알집 만큼은 아니라고 해도 싫어하는 사람들이 많다는 것을 쉽게 알 수 있다.
- 악성코드 'nProtect'를 안드로이드 마켓에서 몰아냅시다!
- 삼류 프로그램의 전형 nProtect
- nProtect(엔프로텍트)에게 띄우는 편지
- 개발자를 괴롭히는 nProtect 개발자
- nProtect를 안드로이드 마켓에서 몰아내야 하는 5가지 이유
Trackback
Trackback Address :: https://offree.net/trackback/3569
-
Subject : 탈옥/루팅 폰에서 뱅킹앱 실행 금지?
Tracked from Open Web 2012/06/11 15:15 del.스마트폰 이용자 중 꽤 많은 분들이 탈옥/루팅을 하여 사용하고 있습니다. 탈옥/루팅은 저작권 침해도 아니고, 이용허락조건 위반도 아닙니다. 물론 소프트웨어 제공자가 “변경을 일체 금지한
Comments
-
Vermond 2012/06/11 14:24
알시리즈도 그렇고 엔프도 그렇고 겪어본 사람만이 잘 느끼죠. 더럽다는걸...ㅡ.ㅡ;;
예전에 bc카드 부가서비스 신청하려고 홈페이지 갔었는데 엔프 쓰더군요. 진짜 그냥 바로 나가고 싶었는데 부가서비스를 신청하긴 해야되니까 어쩔수 없이 갔습니다. 근데 역시 믿을 놈을 믿어야 된다는걸 알게 되었습니다.
귀찮아서 vmware로 우회 안하고 본컴으로 갔는데 계속 엔프로텍트 까세요 라고 말을 해서 깔았더니 바로 키보드랑 충돌떠서 키보드 드라이버를 몇번을 재설치했는지... 처음엔 뭐 바이러스 걸렸나 싶어서 막 조사해봤는데 엔프가 문제더군요.
전화로 서비스 신청한 다음에 한마디 보탰습니다. 왜 저딴 엔프로텍트 따위를 홈페이지에 띄워서 사람 미치게 하느냐? 다른 보안 프로그램으로 바꾸길 건의한다. 이런 내용의 말을 건넸습니다. 근데 아직도 엔프 유지중인듯 싶네요
웃긴건 엔프 끝까지 안 깔고 다른 보안 하나만 깔고 로그인하면 확인은 할 수 있다는 겁니다. 그냥 사람 귀찮게만 할 뿐이지 보안 역할도 못 하는 걸로 보입니다. 도대체 왜 넣은건지 ㅡ.ㅡ;;
알툴즈나 잉카의 사장이 바뀌어서 회사 마인드가 바뀌면 프로그램이 좋아지지 않을까 하는 생각을 해봅니다. 그리고 저런걸 만들고 있어야 되는 개발자 분들에게 애도를...-
도아 2012/06/11 18:09
웃긴건 엔프 끝까지 안 깔고 다른 보안 하나만 깔고 로그인하면 확인은 할 수 있다는 겁니다. 그냥 사람 귀찮게만 할 뿐이지 보안 역할도 못 하는 걸로 보입니다. 도대체 왜 넣은건지 ㅡ.ㅡ;;
금감원인지 금결원인지에서 4대마왕은 무조건 설치하도록 강제하고 있습니다. 저도 키보드 쪽이 충돌이 많이 나는 것을 알기 때문에 키보드 보안 프로그램은 귀찮아도 보통 건너띄고 설치합니다. 그리고 사장의 마인드가 바뀌기는 힘들겁니다. 한예로 이스트 사장은 제 팔로어 이기도 하고 이문제도 다투기도 했는데 중요한 것은 "자신들은 잘못한 것이 전혀 없다"고 생각하고 있더군요.
-
-
-
-
서우승 2012/10/05 11:08
저는 학생인데요... 메가스터디 인터넷강좌 어플을 쓰다가 탈옥을 했는데 칼옥감지라고 하면서 안되네요 ㅋㅋ 방법이 없나요?
Xcon깔아봤는데 안되욤 -
아이패드 2012/10/12 14:12
안녕하세요 포스팅 잘봤습니다 저도 xcon 과 xcon alias 사용중인데 에듀매니저 어플을 사용해야되는데 실행이 안되서요ㅠㅠ개발자에게 따로 메일을 보낼까하는데 한국어플이라 그럼 ipa파일 주소랑 첨부해야되는건가요? 그 어플을 누르면 탈옥이 감지되었다고 꺼지는데 이걸 영어로 번역해서 보내야하는건가요..?ipa 파일링크는 어떻게 찾나요ㅠㅠ
Facebook