사실 이런 보안 모델이 완벽히 작동하지 않음
최신 악성코드는 루트 공간에 흔적을 남기지 않고 메모리에서만 동작함
결국 루팅 금지는 실질적 보안보다는 통제 목적에 가까움
나는 은행 앱을 폰에서 쓰지 않음
대신 PC에서 하드웨어 토큰으로 인증함. 훨씬 덜 귀찮고 안전하다고 느낌
오래된 서명된 ROM은 취약점이 많아도 통과되고, 최신 Lineage OS나 Graphene OS는 거부됨. 이게 과연 제대로 된 보안인지 의문임
예전에 Vanguard 인증팀에서 일할 때, 베트남 접속을 차단한 적이 있었음
사기 시도가 너무 많았기 때문인데, 부유한 고객들은 VPN으로 우회해서 접속하곤 했음
금융사는 늘 이런 식으로 사기와 싸우고 있음
실제로 루팅된 기기에서 사기가 얼마나 발생하는지 궁금함
대부분은 단순한 체크박스식 보안 요건일 뿐, 현실적 위협은 아닐 수도 있음
나도 예전에 개인 서버를 운영할 때 아시아 전체 IP를 차단했었음
포트 스캔과 공격 시도가 너무 많았기 때문임. VPN 우회가 가능하긴 하지만, 그만큼 비용이 들기 때문에 효과가 있었음
2019년에 Vanguard에 Yubikey를 등록했을 때 정말 혁신적으로 느껴졌음
다른 은행들도 비슷하게 VPN을 켜야만 로그인할 수 있게 했었음
대부분의 은행은 루트 접근이 가능한 PC에서도 웹사이트 접속을 허용함
하지만 요즘은 앱 전용 로그인으로 바뀌는 추세임
내 은행 중 하나는 QR 코드로만 로그인 가능하고, 루팅된 기기는 차단됨
아직은 클라이언트 측 우회가 가능하지만, Play Integrity API가 완전히 적용되면 하드웨어 취약점 없이는 뚫을 수 없게 될 것임
결국 웹 접근도 사라질 것 같음
영국 HMRC처럼 모든 절차가 앱으로만 가능해질 전망임
태국에서는 5만 바트 이상 송금 시 얼굴 인식이 의무화됨
그래서 대부분 인터넷 뱅킹을 접고 모바일 앱으로만 인증을 받게 됨
새로운 API 기반 은행이 등장하길 바라지만, 현재는 기존 은행 그룹만 면허를 얻고 있음
헝가리도 비슷함. 비공식 기기에서는 앱이나 SMS로만 2FA 가능함
아직도 SMS를 안전하다고 보는 게 놀라움임
정부가 왜 이렇게까지 루팅폰을 신경 쓰는지 이해가 안 됨
기술자들이 루팅하는 건 대부분 위험을 알고 하는데 말임
핵심은 루팅 여부가 아니라 운영체제를 누가 통제하느냐임
권력을 중앙집중화하려는 자들에게는 엄청난 힘이 됨
은행 입장에서는 보안 비용을 줄이고 고객 피해를 줄일 수 있음
베트남은 VNeID 프로젝트를 통해 생체인식 기반 신원확인을 추진 중임
현 지도자 To Lam은 과거 KGB 출신이라, 나는 베트남 갈 때 개인 기기를 절대 들고 가지 않음 VNeID 공식 사이트, SIM 등록 관련 기사
해외 은행과의 신뢰 확보도 이유 중 하나임
“베트남은 사기가 많다”는 이유로 거래를 거부당하지 않기 위해서임
베트남과 태국 정부의 생체인식 기반 계좌 연동 정책의 일환으로 보임
베트남은 2025년 12월 19일까지 모든 계좌를 생체정보와 연결해야 함 관련 기사1, 기사2
하지만 SIM 스와핑 문제는 SMS 인증을 없애면 해결될 일임
루팅폰 차단으로 해결할 문제가 아님
이 정책은 VNeID 프로젝트와도 연결되어 있음
2030년까지 모든 국민과 외국인 방문자에게 디지털 생체 ID를 부여하고 모든 서비스를 연동하려는 목표임 VNeID, 2030 계획 기사
예전엔 루팅에 열광했지만 지금은 iPhone 사용자로서 양쪽 입장을 다 이해함
루팅하는 사람들은 대체로 기술적으로 숙련되어 있고 보안 의식도 높지만,
은행은 규제를 어기면 막대한 벌금을 물기 때문에 일괄 차단이 합리적일 수도 있음
현대 Android도 iOS만큼 잠겨 있고, 하드웨어 최적화는 오히려 iOS가 낫다고 느낌
그래서 당분간은 iOS 진영에 머물 생각임
루팅폰 차단은 사용자 보호가 아니라 DRM 강화 목적임
루트 권한이 없으면 앱이 자동으로 DRM을 얻게 되고, 사용자는 데이터 접근이나 백업조차 못 함
‘보안을 위해 당신을 보호한다’는 말은 결국 사용자 통제를 위한 명분일 뿐임 Privilege separation은 오래된 개념인데, 이제는 거꾸로 가고 있음
물론 비기술자가 맡긴 폰이 몰래 루팅될 수도 있음
그래서 은행은 루팅폰 전체를 위험군으로 보는 것 같음
루팅폰이 해킹당하면 결국 정부에 민원이 들어오니, 예방 차원에서 막는다는 논리도 있음
‘모바일 뱅킹 앱의 무단 간섭 탐지’라는 문구를 보면, 고객 보호보다는 은행 자체 보호 목적이 더 커 보임
국가 차원의 해커들도 루팅폰을 악용할 수 있으니, 은행 입장에서는 위험 회피가 최우선임
이런 조치의 이유는 두 가지로 보임
무능 — 보안 효과 없는 SDK를 도입한 결과
감시 통제 — 베트남 같은 권위주의 국가는 국민의 기기를 완전히 통제하려는 의도임
겉으로는 ‘안전을 위한 조치’처럼 보이지만, 실제로는 전면 감시 체계를 구축하는 수단임
루팅에는 수많은 정당한 이유가 있음
배터리 수명 연장, 트래커 차단, UI 혁신 등은 모두 환경과 기술 발전에 도움이 됨
하지만 Apple, Google, Microsoft 같은 대기업이 이런 혁신을 막고 있음
그 결과 우리는 창의성과 진보를 잃어가고 있음
Hacker News 의견들
컴퓨터를 소유하면서도 루트 권한을 갖지 못하게 만드는 게 가장 큰 악행이라 생각함
이제는 사람들이 자기 기기에서 어떤 소프트웨어를 실행할지 결정하려는 것만으로도 사회에서 배제되는 시대가 되어버림
이건 사용자 편의를 위한 게 아니라, 정부와 은행이 우리와 소통하기 위한 그들의 ‘대리인’임
설령 원한다고 해도, 기술적으로 그런 능력을 가져서는 안 됨
물리적 감옥과 디지털 감옥은 다르지만, 둘 다 인간을 가두는 행위라는 점에서 악이라 부를 수 있음
베트남이 디지털 주권을 주장할 여지가 있는지 모르겠지만, 이런 조치는 오히려 그 반대 방향으로 가는 것 같음
원격 서버에 내 기기가 변조되지 않은 서명된 소프트웨어를 실행 중임을 증명하지 못하면 경제활동에서 배제되는 구조가 되어감
보안 모델 자체는 말이 되지만, 사용자를 자기 하드웨어의 적으로 간주하는 세상으로 가고 있음
하나는 인증·은행용 잠긴 iPhone SE, 다른 하나는 Graphene OS를 깐 Pixel 9a로 일상용임
비싸지만 현실적인 해결책임
최신 악성코드는 루트 공간에 흔적을 남기지 않고 메모리에서만 동작함
결국 루팅 금지는 실질적 보안보다는 통제 목적에 가까움
대신 PC에서 하드웨어 토큰으로 인증함. 훨씬 덜 귀찮고 안전하다고 느낌
예전에 Vanguard 인증팀에서 일할 때, 베트남 접속을 차단한 적이 있었음
사기 시도가 너무 많았기 때문인데, 부유한 고객들은 VPN으로 우회해서 접속하곤 했음
금융사는 늘 이런 식으로 사기와 싸우고 있음
대부분은 단순한 체크박스식 보안 요건일 뿐, 현실적 위협은 아닐 수도 있음
포트 스캔과 공격 시도가 너무 많았기 때문임. VPN 우회가 가능하긴 하지만, 그만큼 비용이 들기 때문에 효과가 있었음
다른 은행들도 비슷하게 VPN을 켜야만 로그인할 수 있게 했었음
대부분의 은행은 루트 접근이 가능한 PC에서도 웹사이트 접속을 허용함
내 은행 중 하나는 QR 코드로만 로그인 가능하고, 루팅된 기기는 차단됨
아직은 클라이언트 측 우회가 가능하지만, Play Integrity API가 완전히 적용되면 하드웨어 취약점 없이는 뚫을 수 없게 될 것임
영국 HMRC처럼 모든 절차가 앱으로만 가능해질 전망임
그래서 대부분 인터넷 뱅킹을 접고 모바일 앱으로만 인증을 받게 됨
새로운 API 기반 은행이 등장하길 바라지만, 현재는 기존 은행 그룹만 면허를 얻고 있음
아직도 SMS를 안전하다고 보는 게 놀라움임
정부가 왜 이렇게까지 루팅폰을 신경 쓰는지 이해가 안 됨
기술자들이 루팅하는 건 대부분 위험을 알고 하는데 말임
권력을 중앙집중화하려는 자들에게는 엄청난 힘이 됨
현 지도자 To Lam은 과거 KGB 출신이라, 나는 베트남 갈 때 개인 기기를 절대 들고 가지 않음
VNeID 공식 사이트, SIM 등록 관련 기사
“베트남은 사기가 많다”는 이유로 거래를 거부당하지 않기 위해서임
베트남과 태국 정부의 생체인식 기반 계좌 연동 정책의 일환으로 보임
베트남은 2025년 12월 19일까지 모든 계좌를 생체정보와 연결해야 함
관련 기사1, 기사2
루팅폰 차단으로 해결할 문제가 아님
2030년까지 모든 국민과 외국인 방문자에게 디지털 생체 ID를 부여하고 모든 서비스를 연동하려는 목표임
VNeID, 2030 계획 기사
예전엔 루팅에 열광했지만 지금은 iPhone 사용자로서 양쪽 입장을 다 이해함
루팅하는 사람들은 대체로 기술적으로 숙련되어 있고 보안 의식도 높지만,
은행은 규제를 어기면 막대한 벌금을 물기 때문에 일괄 차단이 합리적일 수도 있음
현대 Android도 iOS만큼 잠겨 있고, 하드웨어 최적화는 오히려 iOS가 낫다고 느낌
그래서 당분간은 iOS 진영에 머물 생각임
루팅폰 차단은 사용자 보호가 아니라 DRM 강화 목적임
루트 권한이 없으면 앱이 자동으로 DRM을 얻게 되고, 사용자는 데이터 접근이나 백업조차 못 함
‘보안을 위해 당신을 보호한다’는 말은 결국 사용자 통제를 위한 명분일 뿐임
Privilege separation은 오래된 개념인데, 이제는 거꾸로 가고 있음
그래서 은행은 루팅폰 전체를 위험군으로 보는 것 같음
이런 조치의 이유는 두 가지로 보임
겉으로는 ‘안전을 위한 조치’처럼 보이지만, 실제로는 전면 감시 체계를 구축하는 수단임
루팅에는 수많은 정당한 이유가 있음
배터리 수명 연장, 트래커 차단, UI 혁신 등은 모두 환경과 기술 발전에 도움이 됨
하지만 Apple, Google, Microsoft 같은 대기업이 이런 혁신을 막고 있음
그 결과 우리는 창의성과 진보를 잃어가고 있음