HSBC, F-Droid로 설치된 Bitwarden 때문에 앱 차단

Hacker News 의견들

• Google의 SafeNet 문제임. HSBC가 특정 수준을 선택해서 이런 현상이 생김. Google이 앱 블랙리스트를 관리함
  우리는 점점 기업의 의지에 따라 자유를 잃어가고 있음. 법적으로 금지되지 않아도, 그들이 원하지 않으면 막을 수 있음
  스위스와 EU에서도 미국의 압박으로 인해 USD를 사용하는 은행들이 제재를 받으며 ‘디뱅킹’ 이 일어남. 미국은 표현의 자유를 이유로 사람들을 제재하고, 그 결과 은행 계좌를 잃는 경우가 생김
  스위스 법상 Postfinance는 모든 사람에게 계좌를 제공해야 하지만, 제재를 받으면 송금 시스템, 외화, 신용카드, Twint 모두 사용할 수 없어 사실상 무용지물임. 건강보험이나 월세조차 낼 수 없음

  • 스위스에서는 은행이 Play Integrity를 사용하지 않을 수도 있지만 대부분 원하지 않음.
    Postfinance와 Swissquote가 공동 소유했던 Yuh는 Play Integrity 없이 작동하며, GrapheneOS 지원이 확인됨
    문제는 대부분의 기존 은행이 규제를 맞추기 위해 이런 비효율적인 솔루션을 택한다는 점임. 결국 Google Play Integrity를 켜는 게 가장 쉬운 방법이라 그렇게 함
    미국의 제재 문제도 사실임. 러시아 등 제재 국가 사람들도 비슷한 제약을 겪고 있음
    스위스에서는 미국 시민들이 계좌 개설에 큰 어려움을 겪는데, 과거 은행 비밀주의로 인해 IRS를 피한 사례 때문임
  • EU 시민으로서 그런 사례는 들어본 적이 없음. 미국의 압박으로 EU 은행이 고객을 내쫓는다는 건 처음 듣는 이야기임. 관련된 기사나 출처가 있는지 궁금함
  • 나는 올해부터 두 대의 폰을 씀
    1. iPhone SE 2022 — TOTP, 은행, 인증용으로만 사용하며 평소엔 비행기 모드로 둠. 2032년까지 보안 업데이트 지원 예정
    2. Pixel + GrapheneOS — 일상용 (인터넷, 통화, 메시지 등)
       2025년 현재 이 조합이 가장 실용적인 방식이라 생각함
  • “기업의 의지에 자유를 잃는다”는 말에 대해, Google만의 문제는 아니라고 봄. Postfinance, Twint, 보험사, 집주인 등도 제3자 없이 거래할 방법을 제공해야 함
    정부 또한 시민이 중개자 없이 상거래를 할 수 있게 해야 함
    모두가 “우린 규정을 따를 뿐”이라며 책임을 회피함. 결국 Google이 비난받는 이유는 모두가 편리함에 안주했기 때문임
  • SafetyNet이나 Play Integrity API 문서에서 이런 기능을 찾지 못했음. 관련된 출처나 세부 정보를 알고 싶음

• 영국에는 이런 제한이 없는 은행도 많음. 예를 들어 Monzo는 루팅된 기기에서도 경고만 띄우고 사용자가 직접 선택할 수 있게 함
  Current Account Switching Service 덕분에 HSBC 같은 기존 은행에서 옮기기도 쉬움

  • 내 경험은 달랐음. 주요 은행 앱 대부분이 루팅된 기기에서 작동하지 않았음
    Chip은 루팅 탐지를 강화할 거라며 사용 중단을 권고했지만 실제로는 계속 사용 가능했음
    Barclaycard, Nationwide 등은 접근 자체를 막음. 다른 은행 앱도 있지만 제품 품질이 떨어진다고 느낌
  • 최근 1년 사이 Barclays와 Lloyds 앱이 내 폰에서 작동하지 않게 됨.
    TSB는 아직 되지만 기술력이 부족해서 늦게 따라오는 것뿐이라 생각함
    앞으로도 Monzo만이 예외로 남을 듯함

• 모바일 웹사이트를 만들면서 PWA(Progressive Web App) 를 모른다면 꼭 알아보길 권함
  manifest.json과 service worker 두 파일만 추가하면 브라우저에서 설치 가능하고 오프라인 캐시도 설정 가능함
  복잡하지 않은 앱이라면 개발비를 크게 줄일 수 있음. HTML, JS, CSS만으로 만들 수 있고, 스토어 등록 없이 배포 가능함
  MDN 튜토리얼 참고

  • 하지만 Firefox 데스크톱조차 PWA를 지원하지 않음, 그래서 전망이 밝다고 보긴 어려움
  • PWA는 수년째 존재했지만 일반 사용자에게는 여전히 정착하지 못한 기술임. 앱스토어 문제를 해결할 대안이지만 대중성은 부족함

• 아내가 추억 때문에 폴더폰을 쓰려 했는데, Android Go 14임에도 은행 앱이 “화면 공유 감지”로 작동하지 않음
  POSB 앱은 원인을 “android system”으로 표시함. 아마도 보조 화면 렌더링이 오탐된 듯함
  POSB에 문의했지만 해결되지 않았음. 싱가포르에서 금융 보안의 진짜 위협은 사기(pig butchering) 인데, 은행들은 확률 낮은 악성코드에 과도하게 대응함

• HSBC는 여전히 정상적인 웹사이트 뱅킹을 제공함
  더 많은 사용자가 웹을 이용할수록, 고객이 폐쇄적 모바일 앱보다 열린 웹을 선호한다는 신호가 됨
  나는 여전히 앱 기반 2FA 대신 물리적 RSA 토큰을 사용 중임

  • 영국에서는 웹뱅킹을 하려면 물리 토큰이 필요함. 앱과 토큰을 동시에 가질 수 없어서, 앱이 막히면 토큰을 다시 받아야 함

• Google이 다른 앱을 조회할 수 있는 API를 제거한 줄 알았음

  • 여전히 가능함. 앱이 어떤 패키지를 조회할지 명시하면 됨. HSBC 앱은 <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/> 권한을 사용함
    Google 정책 문서에 따르면 금융 거래 관련 앱은 보안 목적으로 이 권한을 받을 수 있음
  • Google Play에서 배포되는 앱은 특정 목적에 한해 이 권한을 요청할 수 있음. HSBC는 아마 ‘안티바이러스’ 용도로 승인받은 듯함
    관련 문서 링크
  • 사실상 모든 앱이 당신의 설치 목록을 알고 있음
    관련 글과 Hacker News 토론 참고

• 일부 은행 앱은 자체 가상 키보드를 구현해 비밀번호 관리자를 쓸 수 없게 만듦

  • 내 은행도 그래. 프랑스 은행들은 특히 섞인 숫자 키보드를 좋아함. 6~8자리 숫자 비밀번호를 마우스로 클릭해야 함
    생체인증 대신 주기적으로 비밀번호를 요구하는데, 지하철 같은 공공장소에서 입력해야 해서 매우 불편함
    이런 방식은 과거 키로거 대응용이었지만, 지금은 오히려 보안보다 불편함만 남음
  • 예전 은행은 숫자만 허용하는 6~8자리 비밀번호를 강제했음. 지금은 바뀌었는지 모르겠음

• 개발자 모드가 켜져 있으면 HSBC 앱이 작동하지 않음. 너무 과도한 조치라 생각함

  • 우리나라의 mygov.be 앱도 똑같이 작동함. 개발자인 나는 adb와 개발자 설정을 자주 쓰는데, 매번 꺼야 해서 매우 불편함
    mygov.be 사이트 참고
  • 싱가포르의 여러 은행 앱도 개발자 모드 제한이 있음. 대부분 감사 통과용 보안 프레임워크 때문인데, 실제로는 비효율적임

• 아이러니하게도, 은행 앱은 이런 ‘보안’ 기능을 강요하면서 웹뱅킹은 여전히 신뢰할 방법이 없음

  • 이런 요구사항은 종종 보안 컨설턴트의 체크리스트 때문임. 예전에 “앱 삭제 후에도 keychain에 자격 증명이 남는다”는 지적을 받은 적이 있는데, 앱이 삭제될 때 코드를 실행할 수 없다는 걸 모르는 수준이었음

• 최근 Open Web Advocacy(OWA) 를 알게 되었는데, 모바일 플랫폼의 문제를 잘 요약함
  그들의 핵심 목표는 다음과 같음

  1. Apple의 서드파티 브라우저 금지는 반경쟁적임
  2. 웹앱을 네이티브 앱과 동등하게 취급해야 함
  3. 플랫폼 사업자가 만든 인위적 장벽 제거
     웹앱이 허용된다면 더 높은 프라이버시와 보안을 제공할 수 있음
     공식 사이트