지난주 일부 언론에서 증권통이 사용자의 휴대폰ID를 무단으로 빼간다는 보도이후 검찰의 압수수색이 있었고 KBS뉴스에 보도되는 등 사용자 여러분에게 많은 혼란과 우려를 드린 점 깊이 사과드립니다. 이에 그간의 진행 상황을 간략히 정리하고 오늘 업데이트된 안드로이드 버전의 내용에 대해서 알려드립니다.

증권통 안드로이드 버전은 회원가입, 로그인 절차 없이 편하고 빠르게 주식정보를 제공하기 위해 처음 출시 때 부터 휴대폰ID(IMEI, USIM SN)을 사용자ID로 사용해 왔습니다. 이에 대하여 지난주 일부 언론에서 무단으로 사용자 정보를 추출한다는 보도가 나가고 난 후 휴대폰ID를 어플리케이션에서 사용하는 문제가 사회적 이슈가 되었습니다.

현단계에서 저희는 휴대폰ID를 사용하는 것에 대한 합법, 불법을 떠나 더이상 회원여러분께 혼란을 드리지 않고 회원님의 정보를 원천적으로 보호하기 위하여 휴대폰ID를 개인인증의 방법으로 사용하지 않도록 오늘 업데이트를 실시 하였습니다.

이번 2.0.0.39 업데이트 버전은 휴대폰ID를 기반으로 SHA-1 방법을 사용 원본 코드를 다시 복원할 수 없는 새로운 코드(Hashcode)를 만들어 이를 사용자인증 코드로 사용합니다. SHA-1은 암호화 방법이 아니고 전혀 새로운 코드를 만드는 방법입니다. 이 새로 만들어진 코드는 현존하는 어떤 기술로도 원래의 코드를 다시 만들 수 없습니다. 사용자 인증과정에서 이 코드를 저희 서버에 전송하며 서버에는 마찬가지로 방법으로 생성된 새로운 코드 만이 존재합니다. 이 인증코드는 증권통 설정 메뉴의 개인화코드에서 직접 확인 하실 수 있습니다.

이러한 방법을 통해서 사용자 인증과정 중 또는 저희 서버에서 만에하나 코드가 누출 되더라도 회원님의 휴대폰ID는 절대로 누출되지 않습니다. 이상의 설명은 안드로이드 버전에 해당하는 것이며 아이폰의 경우는 처음부터 IEMI, USIM SN같은 코드를 사용하지 않았습니다. 아이폰OS는 이러한 정보를 읽는 기능을 제공하지 않고 자체의 고유한 단말기ID를 제공하기 때문입니다.

2010년 8월 31일

세마포어솔루션 대표이사 이창원

증권통을 애용해 주시는 회원여러분 감사합니다.

저는 증권통 개발을 책임지고있는 세마포어솔루션의 대표이사 이창원입니다.

최근 일부 언론사와 vguard라는 모바일 백신 제조업체인 쉬프트웍스(http://www.shiftworks.co.kr/)라는 회사가 증권통의 보안에 문제가 있다는 보도와 진단으로 증권통 사용자 여러분께 심려를 끼쳐 드리고 있는 것 같아 그간의 자초지종을 상세히 설명드리고 저희 입장을 밝히려 합니다.

글이 다소 깁니다만 끊까지 읽어 주시면 감사하겠습니다. 스마트폰 보안에 대한 저희 나름의 중요한 내용을 담았습니다.

저희가 vguard라는 프로그램의 문제를 접하게 된 것은 회원 여런분들의 제보 때문입니다. 1~2개월 전부터 안드로이드 휴대전화 사용자 여러분들로 부터 증권통이 휴대전화 정보를 유출 할 수 있는 프로그램으로 백신 프로그램이 진단한다는 내용을 제보 받고 조사에 착수 하였습니다. 그 결과 모바일ISP, 미래에셋 증권, 동양증권등의 프로그램에 내장되어 배포된(프로그램을 따로 배포하는 것이 아니라 아예 금융프로그램 안에 있습니다.) vguard라는 프로그램이 그러한 진단을 한다는 사실을 발견하였습니다.

저희는 vguard제조사에 즉시 이러한 진단의 이유가 무엇인지를 질문하였습니다. 그 결과 저희 프로그램이 이미 화이트리스트에 등록되어 있어 문제가 없다는 메일을 쉬프트웍스의 홍민표 대표로 부터 받았습니다. 그러나 저희 테스트 결과 미래에셋에 포함된 vgurad엔진에서 여전히 증권통이 위험 프로그램이라고 진단하고 있다는 사실을 발견하였습니다. 즉 vguard는 정상동작을 하지 않고 있었으며 쉬프트웍스에서는 저희 프로그램을 보안문제가 있다고 진단한 정확한 이유를 밝히지 않았습니다.(휴리스틱 탐지 기법인 "행위기반의 탐지"를 사용한다고 답변을 받았으니 그것이 무엇을 하는것인지 정확히 알 수가 없었습니다.)

저희는 이 vgurad의 탐지기법에 많은 의혹을 품게 되었고 여러가지 안드로이드 어플리케이션을 조사한 결과 네이트온, 멜론, 전국버스정보, 매일경제TV등의 프로그램을 모두 같은 식으로 진단한다는 사실을 알았습니다. 즉 vguard는 안드로이드 어플리케션 배포 포함하는 시스템의 기능접근 리스트를 읽어 휴대폰ID를 읽거나 인터넷을 접근하는 등의 기능이 있으면 무조건 위험하다고 진단하는 것입니다. 물론 이런식으로 진단을 하면 대부분의 프로그램은 모두 위험으로 진단하게 되므로 해당 회사가 문제제기를 하면 빼주는 방식을 사용하고 있었던 것입니다.(현재은 이러한 진단기능을 아예 빼버렸다는 이야기를 들었습니다.)

이후 쉬프트웍스의 홍민표 대표는 개인 블로그를 통하여 증권통이 IMEI, USIM SN을 사용자 동의없이 무단으로 서버로 전송하고 있다는 비난의 글을 실었습니다. 증권통은 이미 수차례 공지를 통하여 휴대전화의 ID(즉, IMEI, USIM SN)를 사용한다고 밝힌바 있습니다. 홍민표 대표의 글의 요지는 IMEI, USIM SN이 매우 중요한 정보이고 이를 이토마토가 사용자 동의 없이 무단으로 사용하고 있다는 것입니다.

안드로이드 마켓에서 증권통을 설치할 때 "전화상태읽기", "전화ID 읽기"에 대한 기능 허가를 받습니다. 저희는 이것으로 사용자 동의를 마친 것으로 생각합니다. IMEI, USIM SN으로 절대 휴대폰을 복제할 수도 없다는 사실은 SKT, KT로 부터 명확한 답변을 들었고 방통위에서도 해당정보를 사용자 동의하에 사용하는 것은 문제가 될것이 없다고 적시하였습니다.(방통위 또는 어떤 관련기관이라도 추가적인 사용자 동의를 받도록 권고 한다면 저희는 하시라도 다시 회원여러분께 동의를 받겠습니다.)

현재 버전의 증권통은 휴대폰의 ID를 그대로 전송하지 않으며 휴대폰ID를 기반으로 하는 새로운 ID를 생성하고 암호화 하여 증권통 사용자의 ID로 사용하고 있습니다. 저희 서버에 휴대폰 ID는 저장되어 있지 않으며 새로생성된 암호화된 GUID만을 가지고 있습니다. 증권통이 이러한 ID체계를 만든 이유는 회원가입절차나 로그인 절차를 생략하고 개인화된 정보를 제공하기 위해서 입니다. 즉 다른 사이트나 프로그램에서 일반적으로 사용하는 새로운ID, 이메일, 휴대폰, 주민번호등을 입력하고 회원가입을 하는 절차가 번거러울 분만 아니라 더 많은 개인정보를 요구하고 서버에 저장하는 결과를 가져온다고 저희는 판단했기 때문입니다.(*1)

저희 서버로 전달된 휴대폰ID는 안전하게 암호화 되어 보관되며 저희가 이를 밖으로 유출할 일이 절대 없음은 회원여러분이 더 잘 아실 것이라 생각됩니다. 회원 여러분이 이미 잘 알고 계시다 시피 저희 증권통 프로그램은 이미 아마도 국내에 가장 높은 점유율을 가진 수십만이 사용하는 증권 프로그램입니다. 이러한 프로그램의 서비스를 운영하는 저희 세마포어솔루션과 이토마토는 절대 허술하게 회원ID를 관리할 수 없습니다.

저희는 현재 여러 증권사들과 실제 주식매매를 연계하는 작업을 진행하고 있습니다. 그만큼 저희에게 보안은 생명이며 스마트폰에서 보안이 어떠해야 하는지 많은 연구를 하고 있습니다. 저희는 보안전문 회사는 아니지만 각종 OS에 대한 오랜 경험을 가진 전문가가 회사내에 있으며 항상 주식매매와 관련된 보안 연구를 합니다. 저희 연구결과 스마트폰에서 금융프로그램을 사용함에 있어서 특별히 백신 코드를 프로그램 내부에 포함할 필요는 없다고 생각합니다.

안드로이드OS나 아이폰OS는 태생적으로, 다른 프로그램이 또 다른 프로그램의 실행내용, 입력내용등을 윈도우OS에 비하여 매우 어렵(*2) 없습니다. 여기서 너무 기술적인 내용은 기술하지 않겠습니다.(곧 저희 홈페이지를 통하여 상세한 기술적 내용을 올리겠습니다.) 윈도우는 이러한 기능의 미비로 그동안 수많은 바이러스의 온상이 되었고 금융프로그램들은 각종 백신프로그램들을 포함하여 배포되고 있습니다. 안드로이드OS나 아이폰OS는 이러한 윈도우OS의 문제를 철저히 연구하고 만들어진 OS이며 이러한 해킹의 기술을 윈도우에 비하여 사용하기가 현저히 어렵도록(*3) 만들어져 있습니다.

세간에 일부 악성 어플리케이션이 사용자정보를 빼서 악의적으로 사용한다는 보고가 있고 충분히 그럴 수 있습니다. 그렇지만 그것은 그 프로그램 자신이 그렇게 하는것이지 절대 어떤 프로그램이 다른 프로그램의 정보를 빼갈 수 있는 방법은 없습니다. 증권통이나 기타 금융프로그램이 스스로 회원들의 정보를 악의적으로 이용할 이유가 전혀 없을 뿐만 아니라 억만분의 하나 그렇게 한다해도 백신 프로그램이 그것을 탐지 할 수는 없습니다.

그럼에도 불구하고 일부 백신 제조업체들은 스마트폰에서도 백신이 필요하다 주장하고 많은 악성 프로그램들이 나와 있는양 공포분위기를 조성합니다. 스마트폰에서 백신 또는 악성 프로그램을 공지해주는 프로그램이 필요없다는 말이 아닙니다. 그런 프로그램은 이미 많이 나와있고 무료로 배포되고 있습니다. 국내 백신업체들도 그러한 프로그램이 필요하다면 유료, 무료 프로그램을 배포하여 사용자 판단에 맡기면 될 것입니다.

증권통은 보안을 이유로 어떠한 백신코드도 저희 코드안에 포함하고 싶지 않습니다. 저희는 저희가 검증하지 못하는 코드를 단 한줄도 저희 프로그램에 넣고 싶지 않습니다. 그 코드가 문제가 있을 시 오히려 그 코드가 프로그램의 정보를 외부에 유출하지 말라는 법이 없기 때문입니다.

윈도우에서 금융프로그램을 사용할 때 마다 수많은 백신프로그램을 같이 매번 깔면서 얼마나 많은 불편을 겪었습니까? 대한민국외에 그렇게 많은 백신프로그램을 설치하면서 금융거래는 하는 나라는 제가 알기에 하나도 없습니다. 윈도우OS의 상황이 누구의 잘못으로 그리되었든 다시 또 스마트폰에 그러한 전철을 밟은 수는 없지 않겠습니까?

증권통 회원님들이 도와 주십시오. 증권통의 보안은 저희가 책임지고 지키겠습니다. 무슨일을 하는지도 모르는 백신프로그램을 덕지덕지 여러분의 전화기에 설치하고 싶지 않습니다. 저희를 도와 주시고 저희를 지지해 주시는 방법은 간단합니다.

1. 이글에서 언급한 내용들을 가능한한 많은 분들께 알려주십오.
2. 안드로이드 마켓, 아이폰 앱스토어에 가셔서 "증권통"을 검색하신 후 저희 프로그램의 기능과 여기에 피력한 저희의 의견을 냉정히 평가해주시고(프로그램에 별 점을 줄 수 있습니다) 여러분의 의견을 댓글 또는 리뷰로 남겨 주십시오. 여러분의 의견을 겸허히 듣겠습니다.
3. 댓글로 다 못하시는 말씀은 마켓에서 개발자에게 메일보내기 또는  support@semaphore.kr로 메일을 보내 주십시오. 여러분의 의견은 저와 이토마도 사장님, 저희 개발팀, 기획팀이 하나도 빼지 않고 모두 읽고 있습니다.

긴글 읽어 주셔서 감사합니다.

2010년 8월 29일

세마포어솔루션 대표이사 이창원 올림

2010/8/30 수정
(*1) 증권통이 휴대폰ID를 사용하는 이유를 질문 하신 회원이 있어 추가되었습니다.
(*2) "절대 불가능 하다"에서 수정되었습니다. 세상에 완벽한 OS란 있을 수 없다는 회원님들의 지적이 있으셨고 동의합니다.
(*3) "전혀 사용할 수 없다"에서 수정되었습니다. 위 1번과 동일한 이유입니다.