[DT 시론] 전자금융거래 과연 안전한가

[DT 시론] 전자금융거래 과연 안전한가

임종인 고려대 정보경영대학원장 CISTㆍBK21정보보호사업단 교수

현재 인터넷 뱅킹은 창구거래는 물론 ATM거래를 추월하여 가장 많은 고객이 이용하고 있다고 한다.

온라인 거래라 불리우는 전자금융거래는 이제 대세로 자리 잡은 것 같다. 범 국가적 공인 인증서 체계(PKI)가 전 세계에서 최초로 구축되었고 1700만명 이상이 공인 인증서를 발급 받은 현실을 감안할 때 놀라운 일은 아니지만 전자 금융 거래 안전성도 비례하여 확보되고 있는 것일까. 또한 최근에는 휴대폰을 이용한 안심결제 서비스가 도입되어 인기를 끌고 있다.

지난 6월 8일 MBC 보도는 38초만에 결제 비밀번호가 노출될 만큼 보안이 취약하다고 고발하고 있다. 이 경우 구매 내역이 노출되어 프라이버시 침해 우려도 심각하다. 그러나 해당 은행은 취약점이 시정되어 문제없다고 주장하며 서비스를 계속하고 있다. 인터넷 뱅킹의 경우도 키보드 해킹 위험성이 지적되어 왔으나 방지 프로그램을 다운받으면 안전하다고 은행들은 주장하고 있다. 전문가인 본인이 보기에는 전혀 그렇지 않다고 자신할 수 있지만 안전성이 생명이라 할 수 있는 금융거래에서 어떻게 이런 일이 있을 수 있을까? 이것은 다음과 같이 복합된 원인에 기인한다.

첫째. 금융기관의 경우 대부분 아웃소싱으로 전자금융 서비스를 개발 구현하고 있으며 자체 기술력의 부족으로 안전성 검증 또한 전적으로 외부에 맡기고 있다. 서비스 개시를 앞당기려는 은행의 의욕과 개발 업체의 정보보호기술력 부족이 맞물려 이번 모바일 안심결제 사건과 같은 어처구니없는 사태가 벌어진 것이다. 보관 기능이 취약한 휴대폰에 비밀 정보를 저장한다면 어떠한 방법으로도 안전 할 수 없다.

인증 서버 또한 WCDMA폰의 경우 USIM칩에 저장하여야 한다는 것은 보안 전문가에게는 상식이지만 해당 개발 업체와 은행은 모르고 있다. 건축의 경우 별개의 감리를 행하지만 이 경우 한 업체가 겸하고 있는 상황이다. 그러면 감독 관청인 금감원은 어떻게 이렇게 취약한 금융 서비스를 인가하였을까? 물론 금융 감독원에서는 보안에 관해서도 심의를 하고 있다. 하나의 전자 금융 서비스가 안전한가를 검증하기 위해서는 전문가 집단이 적어도 수개월의 작업을 행하여야 한다. 그러나 현실은 몇 명의 인원이 1년에 수십 수백건의 서비스에 대한 심의를 하고 있으니 보안에 대한 전문적 검증을 기대하는 것이 무리일 것이다.

전자금융 거래법이 올 1월부터 개정 시행되어 사고시 금융 기관의 책임을 대폭 강화하였다지만 최근 분쟁 조정위원회에 비밀 번호가 노출되었을 경우 고객에게 책임을 지우는 조정안이 결정된 것을 보면 이 또한 믿을 수 없다 하겠다. 휴대폰과 PC에서 은행이 제공한 보안 프로그램의 결함으로 비밀번호가 해킹되었을 때도 같은 판결이 나올 것인지 궁금하다.

작년 보안 카드와 관련된 금융 사고가 발생하자 관련 기관들과 은행들은 안전한 전자금융 거래를 확보하기 위하여 금융 보안 연구원을 연말에 개원하였다. 그러나 보안에 대한 인식 수준이 해킹정도에 머물러 있는 금융 기관들의 요구가 받아들어져 연구원은 해커와 일 잘하는 전산 인력들이 인력 대부분을 차지하고 있다. 해커의 경우 금융기관 홈페이지 취약성 분석 등의 작업은 훌륭히 수행 할 수 있겠지만 해당 금융 서비스에 사용되는 암호가 얼마나 안전하게 설계되었는지, 프로토콜상의 결점은 없는지 분석하는 것은 불가능하다. 분석 능력을 갖춘 정보보호 전문가는 연구원 총인원 수십명 중 극소수에 불과하다. 금융보안원의 전문성 확보 방안이 시급하다. 자통법(자동시장통합법)의 시행과 WCDMA를 이용한 다양한 모바일 금융 서비스 도입은 보안과 프라이버시 문제를 크게 악화시킬 수 있다.

이제라도 관계 당국은 문제의 심각성을 깨닫고 정비에 나서야 한다. 전자금융거래법은 미국의 HIPAA수준으로 강화하고 사고에 대비한 기술과 보험 상품을 개발하고 전문 인력양성에 나서야 한다. 전자 금융은 대세이나 안전성이 확보되지 않는다면 대란이 일어날 것이다. 금융없는 선진국은 결코 오지 않을 것이다.