베트남 정부, 루팅된 스마트폰의 "모든 은행 앱 사용 금지"

 (xdaforums.com)
1P by GN⁺ 23시간전 | ★ favorite | 댓글 1개
  • 베트남 중앙은행이 발표한 ‘77/2025/TT-NHNN’ 개정안은 루팅·부트로더 언락·ADB 연결 등 보안 취약 환경에서 모바일 뱅킹 앱 실행을 차단하도록 규정
  • 새 규정은 3월 1일부터 시행되며, 앱이 이러한 징후를 감지하면 자동 종료 및 사용자 알림을 수행해야 함
  • 차단 대상에는 디버거 연결, 에뮬레이터 실행, 코드 인젝션(hook), 앱 변조·재패키징 등이 포함
  • XDA 포럼 사용자들은 이번 조치가 ADB·언락 기기 전체를 금융 서비스에서 배제한다고 지적
  • 개발자·루팅 커뮤니티에서는 이를 전 세계적 보안 강화 흐름의 일환으로 보며, 향후 대응 방안을 논의 중

베트남 중앙은행의 새 보안 규정

  • ‘77/2025/TT-NHNN’ 은 기존 ‘50/2024/TT-NHNN’ 을 개정한 문서로, 온라인 금융 서비스의 보안·안전성 강화를 명시
    • 제5조 제2항은 제8조 제4항을 수정해, 모바일 뱅킹 앱이 비인가 조작을 탐지하면 즉시 종료 및 사유 통보를 의무화
  • 차단 조건은 다음과 같음
    • 디버거 연결 또는 에뮬레이터·가상머신 실행, ADB(안드로이드 디버그 브리지) 활성화
    • 외부 코드 주입(hook) , API 호출 감시, 앱 변조·재패키징
    • 루팅(rooting) 또는 탈옥(jailbreak) , 부트로더 언락 상태
  • 이 조항은 모바일 뱅킹 앱이 자체적으로 탐지 및 차단 기능을 내장해야 함을 요구

XDA 포럼 내 사용자 반응

  • 한 사용자는 “ADB 및 부트로더 언락 기기에서 은행 앱이 금지됐다”며 3월 1일부터 시행된다고 언급
  • 다른 사용자는 “슬픈 일이지만 놀랍지 않다”며, 전 세계적으로 보안 규제가 강화되는 추세라고 평가
  • 일부는 “우회 방법을 찾을 것”이라며 대응 의지를 보였고, 다른 사용자는 “** 별도의 은행 전용 기기를 사용할 계획**”이라고 언급

기술적 맥락과 커뮤니티 논의

  • 해당 스레드는 원래 Magisk·Play Integrity·루트 탐지 우회 관련 토론 공간으로,
    루팅 감지 회피, 지문 위조, 키박스 탈취 방지 등의 기술적 실험이 공유됨
  • 이번 베트남 규정은 이러한 루트 탐지 우회 시도와 직접적으로 충돌하는 사례로 주목됨
  • 일부 개발자는 ADB 명령어로 캐시 초기화 및 spoofing 설정 점검 등 문제 해결 방법을 공유했으나,
    새 규정 시행 이후에는 은행 앱 자체가 실행 불가해질 가능성이 제기됨

커뮤니티 내 추가 논의

  • 사용자들은 이번 조치를 ADB·루팅·언락 환경 전면 차단으로 해석
  • 일부는 “정부가 보안 명분으로 사용자 제어권을 제한한다”는 우려를 표함
  • 반면 다른 참여자들은 “보안 강화는 불가피한 흐름”이라며,
    루팅 기기와 금융 서비스의 분리 사용을 현실적 대안으로 제시

의미와 파급효과

  • 이번 조치는 국가 차원에서 루팅 기기 금융 접근을 법적으로 금지한 첫 사례 중 하나로 평가됨
  • 모바일 보안·루팅 커뮤니티·핀테크 산업 모두에 영향을 미칠 가능성 있음
  • XDA 포럼에서는 이를 “루팅과 보안 간의 끝없는 고양이와 쥐의 게임”의 새로운 국면으로 인식하고 있음
GN⁺ 23시간전  [-]
Hacker News 의견들

  • 컴퓨터를 소유하면서도 루트 권한을 갖지 못하게 만드는 게 가장 큰 악행이라 생각함
    이제는 사람들이 자기 기기에서 어떤 소프트웨어를 실행할지 결정하려는 것만으로도 사회에서 배제되는 시대가 되어버림

    • 결국 모두가 정부나 은행 서비스를 쓰기 위해 잠긴 스마트폰을 하나쯤은 가져야 하는 세상이 올 것 같음
      이건 사용자 편의를 위한 게 아니라, 정부와 은행이 우리와 소통하기 위한 그들의 ‘대리인’임
    • 결국 우리가 돈 주고 산 물건을 직접 수리하거나 제어할 권리를 잃어가는 싸움임
    • 정부가 이런 권한을 가져야 한다는 생각 자체가 정신 나간 발상
      설령 원한다고 해도, 기술적으로 그런 능력을 가져서는 안 됨
    • 사람의 자율성을 강제로 빼앗는 건 문자 그대로
      물리적 감옥과 디지털 감옥은 다르지만, 둘 다 인간을 가두는 행위라는 점에서 악이라 부를 수 있음
    • 또 다른 정부가 미국 빅테크 의존도를 높이려는 것도 흥미로움
      베트남이 디지털 주권을 주장할 여지가 있는지 모르겠지만, 이런 조치는 오히려 그 반대 방향으로 가는 것 같음

  • 원격 서버에 내 기기가 변조되지 않은 서명된 소프트웨어를 실행 중임을 증명하지 못하면 경제활동에서 배제되는 구조가 되어감
    보안 모델 자체는 말이 되지만, 사용자를 자기 하드웨어의 적으로 간주하는 세상으로 가고 있음

    • 나는 두 대의 폰을 쓰는 방식으로 타협했음
      하나는 인증·은행용 잠긴 iPhone SE, 다른 하나는 Graphene OS를 깐 Pixel 9a로 일상용임
      비싸지만 현실적인 해결책임
    • Cory Doctorow가 이미 2011년에 이런 상황을 예견했음 — The Coming War on General Purpose Computation
    • 사실 이런 보안 모델이 완벽히 작동하지 않음
      최신 악성코드는 루트 공간에 흔적을 남기지 않고 메모리에서만 동작함
      결국 루팅 금지는 실질적 보안보다는 통제 목적에 가까움
    • 나는 은행 앱을 폰에서 쓰지 않음
      대신 PC에서 하드웨어 토큰으로 인증함. 훨씬 덜 귀찮고 안전하다고 느낌
    • 오래된 서명된 ROM은 취약점이 많아도 통과되고, 최신 Lineage OSGraphene OS는 거부됨. 이게 과연 제대로 된 보안인지 의문임

  • 예전에 Vanguard 인증팀에서 일할 때, 베트남 접속을 차단한 적이 있었음
    사기 시도가 너무 많았기 때문인데, 부유한 고객들은 VPN으로 우회해서 접속하곤 했음
    금융사는 늘 이런 식으로 사기와 싸우고 있음

    • 실제로 루팅된 기기에서 사기가 얼마나 발생하는지 궁금함
      대부분은 단순한 체크박스식 보안 요건일 뿐, 현실적 위협은 아닐 수도 있음
    • 나도 예전에 개인 서버를 운영할 때 아시아 전체 IP를 차단했었음
      포트 스캔과 공격 시도가 너무 많았기 때문임. VPN 우회가 가능하긴 하지만, 그만큼 비용이 들기 때문에 효과가 있었음
    • 2019년에 Vanguard에 Yubikey를 등록했을 때 정말 혁신적으로 느껴졌음
      다른 은행들도 비슷하게 VPN을 켜야만 로그인할 수 있게 했었음

  • 대부분의 은행은 루트 접근이 가능한 PC에서도 웹사이트 접속을 허용함

    • 하지만 요즘은 앱 전용 로그인으로 바뀌는 추세임
      내 은행 중 하나는 QR 코드로만 로그인 가능하고, 루팅된 기기는 차단됨
      아직은 클라이언트 측 우회가 가능하지만, Play Integrity API가 완전히 적용되면 하드웨어 취약점 없이는 뚫을 수 없게 될 것임
    • 결국 웹 접근도 사라질 것 같음
      영국 HMRC처럼 모든 절차가 앱으로만 가능해질 전망임
    • 태국에서는 5만 바트 이상 송금 시 얼굴 인식이 의무화됨
      그래서 대부분 인터넷 뱅킹을 접고 모바일 앱으로만 인증을 받게 됨
      새로운 API 기반 은행이 등장하길 바라지만, 현재는 기존 은행 그룹만 면허를 얻고 있음
    • 헝가리도 비슷함. 비공식 기기에서는 앱이나 SMS로만 2FA 가능함
      아직도 SMS를 안전하다고 보는 게 놀라움임

  • 정부가 왜 이렇게까지 루팅폰을 신경 쓰는지 이해가 안 됨
    기술자들이 루팅하는 건 대부분 위험을 알고 하는데 말임

    • 핵심은 루팅 여부가 아니라 운영체제를 누가 통제하느냐
      권력을 중앙집중화하려는 자들에게는 엄청난 힘이 됨
    • 은행 입장에서는 보안 비용을 줄이고 고객 피해를 줄일 수 있음
    • 베트남은 VNeID 프로젝트를 통해 생체인식 기반 신원확인을 추진 중임
      현 지도자 To Lam은 과거 KGB 출신이라, 나는 베트남 갈 때 개인 기기를 절대 들고 가지 않음
      VNeID 공식 사이트, SIM 등록 관련 기사
    • 해외 은행과의 신뢰 확보도 이유 중 하나임
      “베트남은 사기가 많다”는 이유로 거래를 거부당하지 않기 위해서임

  • 베트남과 태국 정부의 생체인식 기반 계좌 연동 정책의 일환으로 보임
    베트남은 2025년 12월 19일까지 모든 계좌를 생체정보와 연결해야 함
    관련 기사1, 기사2

    • 하지만 SIM 스와핑 문제는 SMS 인증을 없애면 해결될 일임
      루팅폰 차단으로 해결할 문제가 아님
    • 이 정책은 VNeID 프로젝트와도 연결되어 있음
      2030년까지 모든 국민과 외국인 방문자에게 디지털 생체 ID를 부여하고 모든 서비스를 연동하려는 목표임
      VNeID, 2030 계획 기사

  • 예전엔 루팅에 열광했지만 지금은 iPhone 사용자로서 양쪽 입장을 다 이해함
    루팅하는 사람들은 대체로 기술적으로 숙련되어 있고 보안 의식도 높지만,
    은행은 규제를 어기면 막대한 벌금을 물기 때문에 일괄 차단이 합리적일 수도 있음
    현대 Android도 iOS만큼 잠겨 있고, 하드웨어 최적화는 오히려 iOS가 낫다고 느낌
    그래서 당분간은 iOS 진영에 머물 생각임

  • 루팅폰 차단은 사용자 보호가 아니라 DRM 강화 목적임
    루트 권한이 없으면 앱이 자동으로 DRM을 얻게 되고, 사용자는 데이터 접근이나 백업조차 못 함
    ‘보안을 위해 당신을 보호한다’는 말은 결국 사용자 통제를 위한 명분일 뿐임
    Privilege separation은 오래된 개념인데, 이제는 거꾸로 가고 있음

    • 물론 비기술자가 맡긴 폰이 몰래 루팅될 수도 있음
      그래서 은행은 루팅폰 전체를 위험군으로 보는 것 같음
    • 루팅폰이 해킹당하면 결국 정부에 민원이 들어오니, 예방 차원에서 막는다는 논리도 있음
    • ‘모바일 뱅킹 앱의 무단 간섭 탐지’라는 문구를 보면, 고객 보호보다는 은행 자체 보호 목적이 더 커 보임
    • 국가 차원의 해커들도 루팅폰을 악용할 수 있으니, 은행 입장에서는 위험 회피가 최우선임

  • 이런 조치의 이유는 두 가지로 보임

    1. 무능 — 보안 효과 없는 SDK를 도입한 결과
    2. 감시 통제 — 베트남 같은 권위주의 국가는 국민의 기기를 완전히 통제하려는 의도임
      겉으로는 ‘안전을 위한 조치’처럼 보이지만, 실제로는 전면 감시 체계를 구축하는 수단임

  • 루팅에는 수많은 정당한 이유가 있음
    배터리 수명 연장, 트래커 차단, UI 혁신 등은 모두 환경과 기술 발전에 도움이 됨
    하지만 Apple, Google, Microsoft 같은 대기업이 이런 혁신을 막고 있음
    그 결과 우리는 창의성과 진보를 잃어가고 있음

답변달기