# HSBC, F-Droid로 설치된 Bitwarden 때문에 앱 차단 > Clean Markdown view of GeekNews topic #25475. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=25475](https://news.hada.io/topic?id=25475) - GeekNews Markdown: [https://news.hada.io/topic/25475.md](https://news.hada.io/topic/25475.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2026-01-01T08:32:53+09:00 - Updated: 2026-01-01T08:32:53+09:00 - Original source: [mastodon.neilzone.co.uk](https://mastodon.neilzone.co.uk/@neil/115807834298031971) - Points: 2 - Comments: 1 ## Topic Body - HSBC 모바일 앱이 **F-Droid를 통해 설치된 Bitwarden**을 이유로 실행이 차단된 사례가 보고됨 - 사용자는 Bitwarden을 **공식 Google Play 버전이 아닌 F-Droid 빌드**로 설치한 상태였음 - HSBC 앱은 이를 **보안 위험 요소로 인식해 접근을 막는 동작**을 수행함 - 동일한 Bitwarden 앱이라도 **설치 출처에 따라 보안 정책이 다르게 적용**됨이 확인됨 - 금융 앱의 **서드파티 앱 검증 및 보안 정책 강화 흐름**을 보여주는 사례임 --- ### HSBC 앱 차단 사례 - HSBC 모바일 뱅킹 앱이 **F-Droid에서 설치된 Bitwarden**을 탐지해 실행을 차단함 - Bitwarden은 오픈소스 비밀번호 관리자이며, F-Droid는 오픈소스 앱 저장소임 - HSBC 앱은 이 조합을 **보안상 위험한 환경으로 분류**함 - 동일한 Bitwarden 앱이라도 **Google Play 버전에서는 차단되지 않음** - 설치 출처가 다르다는 이유로 보안 정책이 달리 적용됨 ### 보안 정책의 차이 - HSBC 앱은 **루팅 탐지나 비공식 앱 설치 감지 기능**을 포함하는 것으로 보임 - F-Droid 버전 앱은 서명 키나 배포 경로가 다르기 때문에 **보안 검증을 통과하지 못함** - 이로 인해 사용자는 **정상적인 앱 사용이 제한되는 불편**을 겪음 ### 의미와 시사점 - 금융기관 앱이 **오픈소스 앱 배포 채널을 신뢰하지 않는 경향**을 드러냄 - 개발자와 사용자 모두 **앱 서명·배포 경로에 따른 신뢰 체계 차이**를 인식할 필요 있음 - 오픈소스 생태계와 금융 보안 정책 간의 **충돌 가능성**을 보여주는 사례임 ## Comments ### Comment 48535 - Author: neo - Created: 2026-01-01T08:32:53+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=46431453) - Google의 **SafeNet** 문제임. HSBC가 특정 수준을 선택해서 이런 현상이 생김. Google이 앱 블랙리스트를 관리함 우리는 점점 **기업의 의지**에 따라 자유를 잃어가고 있음. 법적으로 금지되지 않아도, 그들이 원하지 않으면 막을 수 있음 스위스와 EU에서도 미국의 압박으로 인해 USD를 사용하는 은행들이 제재를 받으며 **‘디뱅킹’** 이 일어남. 미국은 표현의 자유를 이유로 사람들을 제재하고, 그 결과 은행 계좌를 잃는 경우가 생김 스위스 법상 Postfinance는 모든 사람에게 계좌를 제공해야 하지만, 제재를 받으면 송금 시스템, 외화, 신용카드, Twint 모두 사용할 수 없어 사실상 무용지물임. 건강보험이나 월세조차 낼 수 없음 - 스위스에서는 은행이 Play Integrity를 사용하지 않을 수도 있지만 대부분 원하지 않음. Postfinance와 Swissquote가 공동 소유했던 **Yuh**는 Play Integrity 없이 작동하며, [GrapheneOS 지원](https://github.com/PrivSec-dev/banking-apps-compat-report/issues/509)이 확인됨 문제는 대부분의 **기존 은행**이 규제를 맞추기 위해 이런 비효율적인 솔루션을 택한다는 점임. 결국 Google Play Integrity를 켜는 게 가장 쉬운 방법이라 그렇게 함 미국의 제재 문제도 사실임. 러시아 등 제재 국가 사람들도 비슷한 제약을 겪고 있음 스위스에서는 미국 시민들이 **계좌 개설**에 큰 어려움을 겪는데, 과거 은행 비밀주의로 인해 IRS를 피한 사례 때문임 - EU 시민으로서 그런 사례는 들어본 적이 없음. 미국의 압박으로 EU 은행이 고객을 내쫓는다는 건 처음 듣는 이야기임. 관련된 기사나 출처가 있는지 궁금함 - 나는 올해부터 두 대의 폰을 씀 1) iPhone SE 2022 — TOTP, 은행, 인증용으로만 사용하며 평소엔 비행기 모드로 둠. 2032년까지 보안 업데이트 지원 예정 2) Pixel + GrapheneOS — 일상용 (인터넷, 통화, 메시지 등) 2025년 현재 이 조합이 **가장 실용적인 방식**이라 생각함 - “기업의 의지에 자유를 잃는다”는 말에 대해, Google만의 문제는 아니라고 봄. Postfinance, Twint, 보험사, 집주인 등도 제3자 없이 거래할 방법을 제공해야 함 정부 또한 시민이 **중개자 없이 상거래**를 할 수 있게 해야 함 모두가 “우린 규정을 따를 뿐”이라며 책임을 회피함. 결국 Google이 비난받는 이유는 모두가 편리함에 안주했기 때문임 - SafetyNet이나 Play Integrity API 문서에서 이런 기능을 찾지 못했음. 관련된 **출처나 세부 정보**를 알고 싶음 - 영국에는 이런 제한이 없는 은행도 많음. 예를 들어 **Monzo**는 루팅된 기기에서도 경고만 띄우고 사용자가 직접 선택할 수 있게 함 **Current Account Switching Service** 덕분에 HSBC 같은 기존 은행에서 옮기기도 쉬움 - 내 경험은 달랐음. 주요 은행 앱 대부분이 루팅된 기기에서 작동하지 않았음 Chip은 루팅 탐지를 강화할 거라며 사용 중단을 권고했지만 실제로는 계속 사용 가능했음 Barclaycard, Nationwide 등은 접근 자체를 막음. 다른 은행 앱도 있지만 **제품 품질이 떨어진다**고 느낌 - 최근 1년 사이 Barclays와 Lloyds 앱이 내 폰에서 작동하지 않게 됨. TSB는 아직 되지만 기술력이 부족해서 늦게 따라오는 것뿐이라 생각함 앞으로도 **Monzo만이 예외**로 남을 듯함 - 모바일 웹사이트를 만들면서 **PWA(Progressive Web App)** 를 모른다면 꼭 알아보길 권함 `manifest.json`과 `service worker` 두 파일만 추가하면 브라우저에서 설치 가능하고 오프라인 캐시도 설정 가능함 복잡하지 않은 앱이라면 개발비를 크게 줄일 수 있음. HTML, JS, CSS만으로 만들 수 있고, 스토어 등록 없이 배포 가능함 [MDN 튜토리얼](https://developer.mozilla.org/en-US/docs/Web/Progressive_web_apps/Tutorials/CycleTracker) 참고 - 하지만 **Firefox 데스크톱조차 PWA를 지원하지 않음**, 그래서 전망이 밝다고 보긴 어려움 - PWA는 수년째 존재했지만 일반 사용자에게는 여전히 **정착하지 못한 기술**임. 앱스토어 문제를 해결할 대안이지만 대중성은 부족함 - 아내가 추억 때문에 **폴더폰**을 쓰려 했는데, Android Go 14임에도 은행 앱이 “화면 공유 감지”로 작동하지 않음 POSB 앱은 원인을 “android system”으로 표시함. 아마도 보조 화면 렌더링이 오탐된 듯함 POSB에 문의했지만 해결되지 않았음. 싱가포르에서 금융 보안의 진짜 위협은 **사기(pig butchering)** 인데, 은행들은 확률 낮은 악성코드에 과도하게 대응함 - HSBC는 여전히 **정상적인 웹사이트 뱅킹**을 제공함 더 많은 사용자가 웹을 이용할수록, 고객이 **폐쇄적 모바일 앱보다 열린 웹을 선호한다**는 신호가 됨 나는 여전히 앱 기반 2FA 대신 **물리적 RSA 토큰**을 사용 중임 - 영국에서는 웹뱅킹을 하려면 물리 토큰이 필요함. 앱과 토큰을 동시에 가질 수 없어서, 앱이 막히면 토큰을 다시 받아야 함 - Google이 다른 앱을 조회할 수 있는 API를 제거한 줄 알았음 - 여전히 가능함. 앱이 어떤 패키지를 조회할지 명시하면 됨. HSBC 앱은 `<uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>` 권한을 사용함 [Google 정책 문서](https://support.google.com/googleplay/android-developer/answer/10158779)에 따르면 금융 거래 관련 앱은 **보안 목적**으로 이 권한을 받을 수 있음 - Google Play에서 배포되는 앱은 특정 목적에 한해 이 권한을 요청할 수 있음. HSBC는 아마 **‘안티바이러스’ 용도**로 승인받은 듯함 [관련 문서 링크](https://support.google.com/googleplay/android-developer/answer/10158779?hl=en-GB) - 사실상 모든 앱이 당신의 설치 목록을 알고 있음 [관련 글](https://peabee.substack.com/p/everyone-knows-what-apps-you-use)과 [Hacker News 토론](https://news.ycombinator.com/item?id=43518866) 참고 - 일부 은행 앱은 자체 **가상 키보드**를 구현해 비밀번호 관리자를 쓸 수 없게 만듦 - 내 은행도 그래. 프랑스 은행들은 특히 **섞인 숫자 키보드**를 좋아함. 6~8자리 숫자 비밀번호를 마우스로 클릭해야 함 생체인증 대신 주기적으로 비밀번호를 요구하는데, 지하철 같은 공공장소에서 입력해야 해서 매우 불편함 이런 방식은 과거 키로거 대응용이었지만, 지금은 오히려 **보안보다 불편함만 남음** - 예전 은행은 숫자만 허용하는 6~8자리 비밀번호를 강제했음. 지금은 바뀌었는지 모르겠음 - **개발자 모드**가 켜져 있으면 HSBC 앱이 작동하지 않음. 너무 과도한 조치라 생각함 - 우리나라의 **mygov.be** 앱도 똑같이 작동함. 개발자인 나는 adb와 개발자 설정을 자주 쓰는데, 매번 꺼야 해서 매우 불편함 [mygov.be 사이트](https://mygov.be/) 참고 - 싱가포르의 여러 은행 앱도 개발자 모드 제한이 있음. 대부분 **감사 통과용 보안 프레임워크** 때문인데, 실제로는 비효율적임 - 아이러니하게도, 은행 앱은 이런 **‘보안’ 기능**을 강요하면서 웹뱅킹은 여전히 신뢰할 방법이 없음 - 이런 요구사항은 종종 **보안 컨설턴트의 체크리스트** 때문임. 예전에 “앱 삭제 후에도 keychain에 자격 증명이 남는다”는 지적을 받은 적이 있는데, 앱이 삭제될 때 코드를 실행할 수 없다는 걸 모르는 수준이었음 - 최근 **Open Web Advocacy(OWA)** 를 알게 되었는데, 모바일 플랫폼의 문제를 잘 요약함 그들의 핵심 목표는 다음과 같음 1. Apple의 **서드파티 브라우저 금지**는 반경쟁적임 2. **웹앱을 네이티브 앱과 동등하게** 취급해야 함 3. 플랫폼 사업자가 만든 **인위적 장벽 제거** 웹앱이 허용된다면 더 높은 **프라이버시와 보안**을 제공할 수 있음 [공식 사이트](https://open-web-advocacy.org/en/)