이성남 의원, 금감원 주도 금융보안대책에 의문 나타내

금감원(위원장 김종창 www.fss.or.kr)이 각 금융기관의 보안 대책을 획일화해 한 곳이 해커에 뚫릴 경우 전체 금융권이 위험에 빠질 수 있다는 지적이 나왔다.

이성남 민주당 의원은 17일 금융감독원 국정감사에서 당국 주도의 금융기관 보안대책에 대해 언급한 뒤 “하나가 해커에게 뚫리면 금융기관 전체가 위험에 빠질 가능성이 있다”며 “각 금융기관의 보안 대책을 획일화할 필요가 있느냐”고 물었다.

국회 정무위원인 이 의원에 따르면, 금감원은 2005년 5월 한 시중은행에서 국내 최초의 인터넷뱅킹 해킹사고가 발생하자 관계부처 합동으로 OTP 도입과 금융보안연구원 설립 등 내용을 담은 ‘전자금융거래 보안 종합대책’을 마련했다.

이후 고객편의를 증진하고 금융회사의 비용을 절감한다는 명분에서 1개의 OTP를 모든 금융기관에서 사용할 수 있도록 ‘OTP통합인증센터’를 구축하기도 했다.

하지만 OTP센터에는 백업센터가 없어 안전성에 심각한 문제를 야기했고, 이에 시중은행 등 대형 금융기관들은 시스템의 안전을 위해 자체적으로 OTP시스템을 구축하는 등 이중으로 비용을 투자했지만 여전히 해킹에 취약한 것으로 드러났다.

이런 까닭에 인터넷뱅킹 이용자의 컴퓨터에 입력되는 주요 정보를 금융사 서버까지 암호화시켜 전송, 유출을 방지하는 종단간 암호화가 적용되기도 했다.

여기까지 설명한 이 의원은 다시 한 번 획일화된 금융보안의 실효성에 의문을 나타냈다. 그러면서 “무엇보다 금감원이 OTP를 통한 보안대책을 주도하다보니 금융기관 스스로도 보안을 강화하기 위한 대책 마련에 소극적이다”라고 지적했다.

그러면서 “금감원이 대책을 마련하면 따르면 되고, 만약에 사고가 발생하더라도 지시대로 했으니 처벌받을 염려도 적다는 판단에서다”라고 덧붙이기도 했다.

한편, 이 의원은 우리 금융기관의 보안시스템이 MS에 종속됐다고 강조하는 모습도 보였다. 모든 금융기관들이 인터넷뱅킹에 MS사의 인터넷 익스플로러만을 사용, 공인인증서나 보안프로그램도 이에 맞춰서 개발됐다면서 문제를 제기한 것이다.

그는 “올해 마이크로소프트사가 웹 브라우저를 IE7.0에서 IE8.0으로 교체한다고 발표함에 따라 금감원이 대책반을 긴급하게 구성해 운영하고 있다”며 “우리나라 전자금융 거래가 한 외국회사 프로그램 변경에 좌우되고 있다”고 꼬집었다.

이 대목에서 이 의원은 “보안프로그램을 설치하려면 ActiveX란 기술을 사용해야 하는데 MS사의 IE8.0에선 제한됐다”며 “보안프로그램 설치에 치명적인 문제점이 노출된 셈인데 이 역시도 금감원의 획일화된 보안대책이 원인”이라고 주장했다.

그러면서 “결국 금감원이 특정회사 기술에 의존적인 규정을 두고 있는 게 문제다”라면서 “향후 각종 브라우저와 OS에서도 안전한 보안대책을 수립할 수 있도록 금융기관에 자율권을 줄 필요가 있다”고 강조했다.

[최한성 기자(boan1@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>