핀테크 앱 TOSS 보안에 대해

다른 회사의 금융 앱 보안에 대한 평가는 민감합니다.

하지만 TOSS를 초기부터 설치해서 살펴본 소회와 보안 강화가 진행되는 사항을 간략하게 살펴보고, TOSS 보안의 특징을 설명하고자 합니다.UX는 정말 심플하고 유저 친화적이라 최고라고 할 수 있습니다!

[한줄 요약]
TOSS는 한국 앱 중 가장 보안이 우수한 앱입니다

칭찬은 잘 하지 않지만, 앱의 기본 보안인 메모리 보호, 통신 보안 등이 잘 되어 있습니다. 이런 점은 다른 금융 회사들이 배워야합니다. 더 이상 SI 외주로 개발자들을 갈아 넣지 않았으면 합니다.

최근에 제가 모 금융 회사 앱을 사용하다가 '공인 인증서'가 삭제되었습니다. 그래서 해외에서 돈을 보낼 수 없는 난감한 상황이 발생했습니다. 금융사 콜센터에서는 애플 버그로 인한 인증서 삭제라고 했습니다.

물론 애플에 물어봤습니다. 모 금융사의 공식 답변은 거짓말이였습니다.

앱에 인증서 재설치를 하려고 했는데, 해외에서는 인증서 갱신이 되지 않았습니다. 제대로 QA 테스트도 하지 않았던 것입니다. 비행기를 타고 한국 와서 인증서 갱신 후 6시간 후 다음 출장지인 일본으로 갔습니다.

좋은 사용자 경험을 모 금융 앱에서 보여줬습니다. 거짓말로 때우려다가 제대로 제대로 욕 먹은 것입니다. 왕복 비행기 값과 정신적인 피해에 대한 보상을 요구하지 않았습니다. 그냥 국제 전화비 5만원을 청구 받았습니다 .

거짓말하지 마십시오. 고객이 분노하는 것은 회사의 거짓말이지 버그가 아닙니다.

그럼 TOSS의 단점을 볼까요?

[과도한 권한 요청 - 버전 3.9.2의 액세스 권한]

ID
기기에서 계정 검색

주소록
기기에서 계정 검색
주소록 읽기

위치
대략적인 위치(네트워크 기반)
정확한 위치(GPS 및 네트워크 기반)

SMS
문자 메시지 받기(SMS)

통화
전화번호로 직접 전화걸기
휴대전화 상태 및 ID 읽기

사진/영상/파일
USB 저장소의 콘텐츠 읽기
USB 저장소의 콘텐츠 수정 또는 삭제

저장
USB 저장소의 콘텐츠 읽기
USB 저장소의 콘텐츠 수정 또는 삭제

카메라
사진과 동영상 찍기

마이크
오디오 녹음

기기 ID 및 통화 정보
휴대전화 상태 및 ID 읽기

기타
인터넷에서 데이터 받기
네트워크 연결 보기
완전한 네트워크 접근
시작할 때 실행
다른 앱 위에 그리기
진동 제어
기기가 절전 모드로 전환되지 않도록 설정

생각보다 많은 권한을 TOSS는 요구하고 있습니다. 이 관련 데이터를 다소 불필요하게 서버로 보내고 있습니다. 이 부분은 개선이 필요합니다.

오디오를 왜 녹음해야하는지 잘 모르겠습니다. 그리고 USB 및 몇몇 디바이스를 요구하는 이유는 개발자로써 잘 이해가 되지 않습니다.

FDS가 없는 것으로 보입니다. 여러 테스트를 한 결과 비정상 거래 내역에 대한 차단 기능이 없습니다. 워낙 소액이 오고가는 것이라 없는 것으로 보이지만, 앞으로 추가해야할 것으로 보입니다. 한국에서 비정상적인 서버에 대한 보안 스캐닝을 하면 안되기 때문에 더 진행할 수 없었습니다. 미치도록 더 확인하고 싶습니다.

종합 평가
한국의 금융, 핀테크 앱 중 가장 보안성이 좋습니다. 보안을 생각한다면 그냥 TOSS를 선택하는 것이 낫습니다.

금융적 리스크 요소

1. CMS 방식을 통해 송금하기 때문에 유저들이 열정적으로 사용할 때마다 엄청난 '손실'이 있습니다. 중장기적으로 생존이 될까요?
2. narrow banking이 사실상 불가능하기 때문에 제휴 모델로만 하고 있습니다.

아직 젊은 회사이기 때문에 저작권에 대해서 종종 실수를 하기도 합니다. 슬램덩크 이미지로 광고를 하거나, 회사 블로그에서 유명 라이선스가 있는 것들을 그대로 무단 전제하기도 합니다.

그런 단점과 논란이 있지만, 보안 관점 하나와 UX에 대해서는 정말 강추입니다.