탈옥폰에서 인터넷 뱅킹

아이폰은 탈옥을 하면 기능이 몰라보게 달라진다. 외관도 화려해 지고 순정에는 없는 편리한 기능도 추가할 수 있다. iOS의 기능 중 상당수는 탈옥에서 왔다고 해도 과언이 아닐 정도다. 이렇기 때문에 많은 사람들이 탈옥을 한다. 그런데 탈옥을 하면 울며 겨자 먹기로 포기해야 하는 것이 있다. 바로 '인터넷 뱅킹'이다. 그런데 시스템 API를 사용할 수 없는 순정 어플이 탈옥을 정교하게 감지하기는 힘들다. 이런 이유로 탈옥 감지를 우회해 주는 시디어 어플(HideJB 아님)을 설치하면 탈옥폰에서도 금융 어플(은행 어플)을 사용할 수 있다. 이 글에서는 탈옥폰의 보안과 주의점, 탈옥폰에서 인터넷 뱅킹을 하는 방법을 다룬다.

탈옥폰의 보안

'나는 탈옥폰으로 인터넷 뱅킹을 하지 않는다'. 그 이유는 간단하다. 탈옥한 폰에는 사용자가 모르는 보안 위험이 존재할 수 있기 때문이다. 그렇다고 해서 아이폰으로 인터넷 뱅킹을 아예 안하는 것도 아니다. 정 필요하면 조금 불편하지만 원격 연결->를 통해 인터넷 뱅킹을 한다. 그러나 이처럼 인터넷 뱅킹을 사용하는 사람은 드물다. 따라서 탈옥한 사용자들에게 가장 많이 받는 질문 중 하나가 인터넷 뱅킹(은행 어플)이다. 그러나 탈옥폰에서 인터넷 뱅킹을 사용할 때는 다음 사항을 꼭 주의해야 한다.

  1. 탈옥폰, 배터리가 광속으로 단다면?이라는 글을 읽고 '루트 비밀번호를 바꾸기' 바란다.
  2. 공식적인 시디어 리포 이외의 리포로는 어플을 설치하지 않는다.
  3. Installous를 통한 크랙 어플은 될 수 있는 한 설치하지 않는다[1].
  4. '3G'망이나 '자기 와이파이' 망에서만 금융 어플을 사용한다.
  5. 잔금이 많은 주거래 은행 보다는 적은 금액을 입출금하는 보조 은행만 사용하는 것이 좋다.

"탈옥을 하면 보안상 위험하느냐?"라는 질문을 종종 받는다. 탈옥하면 보안상 위험한 것은 분명한 사실이다. 따라서 IT에 대한 지식이 없는 사람의 탈옥에 대한 질문은 아예 받지 않는다. 또 탈옥하지 말고 순정폰을 쓰라고 권고하고 있다. 이전에 올린 글에서 알 수 있지만 PC(Personal Computer)에서는 1996년 이후[2] 바이러스에 걸린 적이 거의 없었다. 그러나 ()에서는 얼마 전 바이러스에 걸렸다. 이 글에 붙은 댓글 중 하나가 '도아님처럼 관리하면 걸리지 않을 것으로 생각했었다'는 것이다. 그런데 누구나 실수는 한다.

'탈옥폰을 쓴다'는 것은 CCTV가 설치된 하나의 출입구를 CCTV가 없는 여러 개의 출입구를 만드는 것과 같다. 즉, 드나들기는 더 쉽지만 감시하기는 더 힘들다. 또 어느 정도 보안이 생활화된 사람도 깜빡 실수하면 뚫릴 수 있는 위험이 있다. 따라서 탈옥폰을 쓸 때 가장 좋은 방법은 CCTV가 없는 출입구 - 신뢰할 수 없는 소스, 크랙된 어플등 - 를 최대한 줄이는 것이다. 참고로 최근 필요에 의해 SSH를 설치해 두고 있다. 그러나 루트 암호는 이미 바꾼 상태고 SSH 역시 필요할 때만 를 이용해서 잠깐 켜고 사용한다.

스마트폰 백신?

아이폰안드로이드에 비해 구조적으로 더 높은 보안성을 유지하고 있다. 또 어플 관리 역시 하나의 통일된 체계를 가지고 있다. 따라서 보안면에서는 안드로이드 보다 아이폰이 확실히 잇점이 있다. 그런데 탈옥을 하면 아이폰의 보안은 안드로이드 수준으로 떨어진다. 안드로이드는 시스템 API를 접근할 수 있다. 또 임의의 소스로 부터 어플을 설치할 수 있다. 이런 부분 때문에 사용하기에는 상당히 편하지만 보안에는 훨씬 더 위험하다. 또 아이폰에는 없는 백신 프로그램이 안드로이드 폰에 많은 것도 이런 이유다.

심지어 인터넷의 양대 쓰레기로 불리는 과 '엔프로텍트'도 안드로이드에는 백신이 존재한다. 아울러 워낙 사람들이 싫어 하는 프로그램들이라 퇴출 운동까지 있었다. 아무튼 탈옥폰(Jailbreaked Phone)에서 인터넷 뱅킹을 사용하려고 한다면 위에서 설명한 보안 위험을 충분히 숙지하고 사용해야 한다. 아울러 탈옥폰에서 인터넷 뱅킹을 사용하며 벌어질 수 있는 모든 위험과 책임은 자신에게 있다는 것을 알고 시도하기 바란다.

IT 업계 3대 쓰레기

엔프로텍트 개발자와 주고 받은 트윗터 메시지다. nProtect와 알약을 바이러스라고 하자 'Viruts가 아니라 Anti-Virus 겠지요'라고 답한다. 그리고 '함의'를 이해하지 못했다고 하자 슬그머니 언팔했다. 우리나라 IT 업계 3대 쓰레기는 네이버, 이스트, 잉카인터넷이다.

탈옥폰 인터넷 뱅킹

탈옥폰에서 인터넷 뱅킹하는 방법은 여러 가지가 있다. 일단 탈옥을 하면 앱 스토어(Apps Store)가 아니라 임의의 소스로 부터 어플을 설치할 수 있다. 심지어 개발자가 만든 어플을 변경해서 설치하는 것도 가능하다. 초기에 등장한 탈옥폰용 은행 어플은 모두 이런 방법으로 금융 어플을 패치한 어플이었다. 그런데 이 방법에는 한 가지 문제가 있다. 금융 어플을 판올림을 하면 바로 무력화 된다는 점이다.

탈옥을 감지하는 방법은 여러 가지가 있다. 그러나 시스템 API를 이용할 수 없는 어플은 탈옥을 정교하게 감지하지 못한다[3]. 즉, 어플이 탈옥을 감지하는 방법이 단순할 수 밖에 없다. 따라서 어플이 탈옥을 감지하는 방법을 알고 있다면 쉽게 속일 수 있다. 바로 이런 아이디어로 등장한 어플이 탈옥을 속이는 트윅이다. 이런 어플장점은 '판올림되도 계속사용할 수 있다'는 점이다. 이런 어플로 알음 알음 알려져 있는 어플이 HideJB다. 또 얼마 전 리포에서 사라진 kBankTweak도 금융권 어플에 특화된 HideJB로 보면 된다.

HideJB개발자가 우리나라 사람이기 때문에 거의 모든 금융 어플을 지원한다. 유료 어플(3불)이지만 이런 잇점 때문에 꽤 많은 사람들이 사용하는 것 같다. 다만 HideJB는 어떤 일 때문인지 몰라도 현재 판매 중지된 상태다. kBankTweak예전에 소개한 다른 금융 어플처럼 금융결제원에서 걸고 들어와 개발이 중단된 상태다. 따라서 탈옥한 iOS 5.1.1을 사용하며 금융 어플을 사용하려는 사람에게는 남은 방법이 많지 않다.

xCon과 xCon Alias

그러나 크게 걱정할 필요는 없다. 탈옥폰에서는 실행이 금지된 어플이 국내에만 있는 것이 아니기 때문이다. 이 때문에 시디어 공식 리포에는 HideJB와 비슷한 xCon이라는 어플이 올라와 있다. 다만 외국에서 개발된 어플이기 때문에 국내의 모든 금융 어플을 지원하지는 않는다. 내가 시험해 본 은행은 블로그 기부금을 받을 때 사용하는 우리은행만 시험해 봤다. 다만 개발자가 '동작하지 않는 어플을 보고해 주면 다음 판에 지원해주겠다'고 하고 있다. 따라서 사용해 보고 동작하지 않는 어플은 개발자에게 보내 지원될 수 있도록 하는 것도 한 방법이라고 생각한다.

xCon을 설치하는 방법은 쉽다. 시디어(Cydia)를 실행하고 xCon을 검색해서 설치하면 된다. 시디어 공식 리포 중 하나인 Modmyi.com에 올라와 있는 어플이다. 따라서 네트워크 오류가 아니라면 바로 설치할 수 있다. 또 설치해도 어떤 아이콘을 만들지 않으며 설정에도 찾을 수 없다. 즉, 탈옥을 숨기는 어플이기 때문에 순정 어플이 접근할 수 있는 곳에는 흔적을 남기지 않는 것 같다[4]. 물론 어플의 성격상 Mobile Substrate 확장으로 설치되기 때문에 MobileSubstrate/DynamicLibraries 폴더에 xCon.dylib, xCon.plist 파일이 설치된다.

xCon

왼쪽은 시디어에 올라온 가장 최근판, 36이고 오른쪽 개발자 리포에 올라온 베타판이다. 가운데 그림을 보면 알 수 있지만 시디어를 통해 앱을 보내는 것도 가능하ㄷ.

지원목록

xCon은 @unimp0rtanttech이 개발 배포하는 시디어 어플이다. xCon에서 지원하는 공식적인 어플의 목록은 다음과 같다. Modmyi.com 포럼xCon의 개발 이력에서 가져온 목록이다. 아울러 이 목록에 없는 어플도 탈옥 감지 방법이 같다면 실행된다. 또 지원하지 않는 어플은 n00neimp0rtant@me.com로 메일을 보내도 되고 GitHub 게시판을 통해 보고해도 된다. 또 xCon을 검색해 보면 xCon Alias라는 앱도 찾을 수 있다. 동일한 리포에 올라왔으며 현재 '2불'에 판매되는 어플이다. 이 어플은 '특정 어플에 대한 지원을 최신으로 유지'시켜준다. 즉, 사용자가 어플 지원을 요청하면 'xCon Alias'를 통해 일단 지원하고, 나중에 정식으로 'xCon'에서 지원하는 형태다.

  • AlwaysOnPC, Barclays Pingit, Cablevision, Capital One UK, Cox, DirecTV Nomad, DirecTV iPad, Flixster, iBooks, Good for Enterprise, Kaching, Lovefilm, McAfee EMM, SkyGo, Skype, Square, Telus Optik TV , Time Warner, Verizon FlexView, Voddler

지원요청

현재 Modmyi.com 리포에 올라온 xCon은 36이다. 그러나 http://n00neimp0rtant.dyndns.org/repo에서는 조금 더 많은 어플을 지원하는 37 Beta2를 설치할 수 있다. 또 개발자의 전자우편(n00neimp0rtant@me.com)이나 GitHub를 통해 보고할 때는 다음과 같은 정보를 함께 보내 달라고 한다. 마지막으로 xCon은 저작권을 침해할 수 있는 '크랙 검출 우회 트윅'이 아니라는 점을 강조하고 있었다.

  • 어플의 이름
  • 오류 화면이나 받은 알림
  • IPA 파일의 링크. 특히, 미국 계정으로 받을 수 없다면 꼭.

우리은행

참고로 우리은행은 'xCon Alias' 없이 'xCon'(36)만으로 잘 실행되었다. 따라서 다른 은행은 'xCon'으로 실행해 보고 지원되지 않는다면 'xCon Alias'를 구매하는 것도 좋은 방법이라고 생학한다. 'xCon Alias'도 Mobile Substrate 확장으로 설치되기 때문에 에서 켜고 끌 수 있다. 다음은 xCon을 설치하고 우리은행 어플을 실행한 결과다. 아울러 이 글을 읽는 사람들은 각자 금융 어플(은행, 옥션과 같은 쇼핑몰 어플등)을 실행해 보고 그 결과를 댓글로 달아주면 더 좋을 것 같다. 물론 은행 어플의 이름만 쓸 것이 아니라 자신이 사용한 xCon의 버전도 함께 적어 주면 더 좋을 것 같다.

우리은행

xCon을 설치하기 전에는 가장 왼쪽 그림처럼 '안내' 메시지가 뜬다. 'xCon' 설치하고 실행하면 가운데 그림처럼 정상적인 창이 나타난다. 이체는 해보지 않았지만 조회까지는 문제없이 진행됐다.

참고로 다른 은행 어플도 가능한지 확인하기 위해 농협 어플(NEW)을 사용해 봤다. 처음 실행하면 탈옥폰이라는 오류가 뜨지만 무시하면 인증서 가져오기 까지 가능했다. 그러나 조회 시도하면 다시 인증서 암호를 묻고 인증서 암호를 입력하면 '탈옥'폰이라는 메시지가 떴다. 따라서 농협은 어플 실행할 때 외에 서버에도 관련 정보를 보내 검증하는 것이 아닌가 추정하고 있다.

지원은행

참고로 댓글과 페이스북, 트위터로 올라온 의견을 종합해 보면 신한S뱅크, 우체국, 농협, 하나은행은 안된다고 한다. 또 KB뱅킹은 되지만 올레인증서를 가져오지 못해 조회만 가능하다고 한다. 마지막으로 기업은행, 동양증권은 가능하다고 한다.

남은 이야기, nProtect

나도 한번 다루려고 했었던 프로그램이 바로 nProtect다. 와 함께 지구상에서 사라져야 할 프로그램 중 하나다. 재미있는 것은 악명이 자자한 이 두 프로그램이 승승장구하고 있다는 점. 다음은 엔프로텍트에 관련된 글이다. 모두 한번씩 읽어 보기 바란다. 알집 만큼은 아니라고 해도 싫어하는 사람들이 많다는 것을 쉽게 알 수 있다.

관련 글타래


  1. '될 수 있는 한'으로 한 이유는 나도 기능 시험을 위해 가끔 설치하기 때문이다. 
  2. 1996년 NT로 운영체제를 바꾼 뒤 지금까지 바이러스에 걸린적은 거의 없다. 
  3. 애플에서 탈옥 감지 방법을 제공했었지만 4.2.x에서 사라졌다. 
  4. iOS 4.x에서 도입된 탈옥 감지 기능은 iOS 4.2.x부터 삭제됐다.