1. 잇단 해킹사고에 대한 정부차원 대응책 수립된다.

2. 되풀이되는 사이버 금융사고 “문제점은?”

3. 단방향 보안체계의 한계 극복 필요.

4. 사용자의 보안의식 결여 “해결책을 찾아라!”

 

은행권 인터넷 뱅킹에 대한 해킹사고가 끊이지 않자 정부는 사이버금융 보안 체계를 강화하려는 움직임을 보이고 있다. 국내에 인터넷 뱅킹이 도입된 후 많은 사용자들은 인터넷 금융 거래에 익숙해져 있는 상황이지만, 아직도 불안을 떨치지 못하고 있다. 일단 안전성이 제일 강조되는 인터넷 금융에서 난 사고기 때문에 나타나는 불안감도 있지만, 사고만 났다하면 은행과 각계 기관이 원인과 결과를 숨기고 있기 때문에 신뢰를 주지 못해 나타나는 불안감이 더 크다는 반응이다.

국내 사이버 금융 보안체계

2005년 6월 한 은행에서 해킹 사고가 발생하면서 사이버금융보안 체계에 대한 의문이 제기되기 시작했다. 당시 해킹한 범죄자는 키보드의 입력 값을 빼내 인증서 번호를 알아내고, 이를 통해 알아낸 개인정보로 새로 인증서를 발급받아 돈을 빼내다 붙잡혔다. 그동안 은행들은 공인인증서와 보안카드를 이용하기 때문에 해킹이 불가능하다고 주장했지만 이때 사고로 키보드 보안에 대한 문제가 본격적으로 제기되기 시작했다. 결국 같은 해 8월 금융감독원은 전자금융거래 보안강화 종합 대책을 발표했다. 골자는 해킹방지 프로그램의 의무로 사용하게 하는 것.

우리나라는 다른 나라보다 앞선 사이버금융시장을 만들기 위해 시장도입을 촉진 시키는데 주력하고 있었다. 그런 상황에서 금융해킹사고는 사용자의 불안을 증폭시킬 우려가 있어, 2007년 1월 전자금융거래법 시행 금융기관에 대해 사고입증 책임을 강화하는 방안을 내놓기에 이르렀다. 결국 사이버금융 사고가 발생할 경우 은행이 사용자의 과실을 입증하지 않으면 책임을 져야한다는 방침을 세운 것이다.

아울러 보안카드 보다 뛰어난 보안 해결책으로 OTP(일회용 비밀번호 생성기)를 국내에 도입하는 방안이 제시됐고, 2007년 6월에는 은행권에 OTP 도입을 촉진시키기 위해 OTP통합인증 센터를 설립하기에 이르렀다. 각자 진행해야 했던 OTP인증체계를 하나로 묶어 체계적인 관리로 OTP도입을 활성화 시키겠다는 이유에서다.

사용자의 보안 인식결여 문제 커

전문가들은 잇달아 나타나고 있는 사이버금융사고의 문제점을 사용자들의 보안 의식 결여에서 찾고 있다. 최근 밝혀진 사고가 대부분 보안카드나 개인정보 관리의 허점에서 나오고 있다고 보고 있기 때문.

성재모 금융보안연구소 팀장은 “많은 사용자들이 IT의 편의성을 추구하다보니 보안의 허점을 드러내는 경우가 많은데, 이는 아무리 보안 솔루션이 잘 갖춰져 있어도 허점을 나타낼 수 있다”며 “가령 보안카드를 챙겨오지 않았을 경우를 대비해 포털이나 메일에 보안카드를 스캔해 올리는 경우도 있고, 심지어 비밀번호나 아이디 그리고 이체 비밀번호까지 올려놓는 경우도 있다”고 말했다.

아울러 개인 PC의 보안 허점으로 인한 사고도 주의해야한다는 조언도 나타나고 있다. 보안업계의 한 관계자는 “사용자 PC의 악성코드 감염은 키로거나 메모리해킹 등 인터넷 뱅킹 해킹 사고의 주  원인이 될 수 있지만, 아직도 사용자의 PC에 예방 백신이나 실시간 감지 툴이 설치되지 않은 경우도 적지 않다”며 “아직도 많은 사용자들이 보안에 돈을 들이는 것을 낭비라고 생각하는 경우가 많은데, 최소한 최근 보급되고 있는 무료백신이라도 설치하는 것이 좋다”고 조언했다.

사용자 과실 입증 시스템 부재도 문제

많은 사용자들은 인터넷뱅킹 해킹 사고라고 불리는 사이버금융보안 사고에 대해 막연한 불안감을 가지고 있다. 그 이유는 일이 터졌다하면 쉬쉬하고 있기 때문. 일단은 은행이 사용자의 과실을 밝혀내지 못하면 책임을 져야하는 구조가 이런 불안감을 확대시키고 있다.

대부분의 사고가 사용자의 과실에서 나타난다고 업계에서는 이야기한다. 그렇다 해도 사용자의 과실을 증명하는 것은 쉽지 않다. 가령 이전에 터졌던 한 은행의 해킹사고의 경우, 해킹이라고 주장하는 사용자와 사용자의 과실이라고 주장하는 은행과 팽팽하게 맞선 적 있다.

 

피해자는 은행에서 보안을 위해 권유하는 OTP를 사용하고 보안카드관리도 잘 했음에도 불구 사고가 발생했으니 해킹이라는 주장을 펼쳤다. 허나 경찰 수사결과에서 보안카드를 온라인에 저장한 것으로 나타나면서 과실로 기울기 시작했다. 하지만 이런 과정이 발표된 시기는 이미 언론에서 인터넷 뱅킹 해킹에 대한 보도가 수차례 나간 상황이었다.

결국, 현재 은행권에서는 해킹을 당했든지 사용자의 과실이든지 대외적으로 공개되는 것은 도움이 안 되는 것으로 인식하게 됐고 이는 불안감을 더욱 가중시키는 상황을 초래하게 됐다.

이에 대해 금융보안업계의 한 전문가는 “해킹인지 사용자의 과실인지 입증할 수 있는 시스템이 필요해 보이며, 이런 시스템의 부재는 공모사기를 부추길 수 있다”며 "사용자의 과실과 해킹을 입증할 수 있는 시스템이 도입된다면 금융사들이 사고에 대해 쉬쉬하지는 않을 것"이라고 지적했다.

단 방향적 정책에 대한 문제도 제기 돼

사용자의 보안취약에 대한 과실도 문제지만, 단방향적인 사이버금융보안정책도 문제라는 의견도 나타나고 있다. 금융감독원은 2005년 키보드해킹에 의한 사고가 발생하자 키보드보안 프로그램을 의무적으로 도입하도록 했고, 2007년부터는 OPT를 이용하도록 강조했다.

 

이런 정부의 의무적인 보안솔루션 도입권유로 인해 사이버금융보안 기술이 일방적으로 치우치게 됐다는 것. 결국 다른 기술과의 경쟁으로 인한 발전이 필요했지만 은행권 보안강화를 위한 의무화가 오히려 이를 저해하는 요소가 됐다는 주장이다.

 

특히 메모리 해킹과 같은 새로운 해킹기술이 나타나면서 그동안 강조했던 보안솔루션의 허점에 대한 지적이 적지 않지만 일방적인 기술도입으로 인해 대안 보안 기술을 제공하는 업체들을 찾아 볼 수 없다는 것은 현 시점에서 큰 문제점으로 부각되고 있다.

업계의 한 관계자는 “현재 외국에서는 아이디나 패스워드, 그리고 이체 비밀 번호와 별개로 OTP나 휴대폰인증, ARS인증 등 다른 보조 보안 솔루션을 이용하도록 하고 있어 만약 OTP에 보안 취약점이 발견 된다하더라도 다른 기술로 대체할 수 있는 선택권을 가지고 있다”면서 “금융권은 안정성을 가장 추구하기 때문에 어느 정도 검증된 기술도입이 필요하지만, 우리나라의 경우 그동안 금감원에서 제시한 기술 외에 다른 기술은 쉽게 찾아볼 수 없기 때문에 새로운 기술을 들고 온 기업이 있더라도 이를 도입하기란 쉽지 않을 것”이라고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>