| [기자수첩]스마트폰 뱅킹 시대 도래...인터넷 뱅킹 처럼은 안돼! | 2010.01.11 | |
금융감독원 보안 가이드라인 얼마나 효과 있을까?
지난 7일 금융감독원은 ‘스마트폰 전자금융서비스 안전대책’이라는 스마트폰 금융 보안 가이드라인을 발표했다. 골자는 스마트폰 뱅킹도 인터넷뱅킹 수준으로 보안을 강화하라는 내용이다. 이번 가이드라인 발표는, 그동안 보안상의 이유로 스마트폰 뱅킹 어플리케이션 개발에 눈치만 살피던 금융권에게 있어, 좀 더 적극적인 행동을 시작할 수 있는 발판이 될 것으로 보인다. 그러나 우리나라 금융권의 보안 투자 행태를 살펴봤을 때, 금융감독원이 발표한 가이드라인이 스마트폰 뱅킹 보안에 얼마나 도움이 될지 의문이다. 예전 인터넷 뱅킹 도입에서 봤듯이, 그동안 금융권은 금융감독원이나 금융결제원이 정해준 보안 기준만 충족시키는 보안투자를 진행해왔다. 물론 보안투자에 적극적인 일부 몇몇 금융사도 있지만 극소수이다. 참 아이러니 한 사실은, 스마트폰 뱅킹 서비스 등 스마트폰 관련 서비스가 늘어나고 사용자도 기하급수로 증가하고 있지만, 아직까지 보고된 보안 위협은 많지 않다는 사실이다. 이런 정황만 봤을 때는 금융감독원의 가이드라인이 부족함이 없어 보인다. 그러나 이런 정황이 스마트폰이 PC보다 보안위협이 적다는 것을 반증하는 것일까? 물론 아니다. 외국의 전문가들이 꼽은 ‘2010년 보안 위협 Top 8’을 살펴보면 스마트폰의 증가에 따라 스마트폰 뱅킹 위협이 점차 늘어날 것이라고 예측하고 있다. 보안 포렌식 회사인 인가디안(InGuardian)의 포렌식 연구자 대표 Ed Skoudis는 올해 “스마트폰 뱅킹에 대한 악성코드가 증가됨에 따라 아이폰이나 안드로이드 폰에서 작동하는 봇넷(botnet)이 생길 것”이라고 예측했다. 또한 RSA의 Rivner는 “모바일 뱅킹 사기가 다가오고 있다. 더 많은 사용자들이 모바일 뱅킹에 가입하고 있고 더 많은 서비스들이 모바일 채널을 통해 제공되고 있다. 아시아와 유럽에 있는 은행들은 이미 모바일 트로이 목마와 SMS 우회 공격을 받고 있다.”고 말했다. 그는 2010년 중반 쯤에는 미국에서도 모바일 공격이 발생될 것이라고 예상하며 “은행들이 모바일을 이용한 온라인 뱅킹 보안에 투자를 하기 시작할 것이다”고 말하기도 했다. 이처럼 많은 전문가들이 스마트폰 보안 위협에 대해 경고하는 이유는, PC 보안 위협에 비해 스마트폰 보안 위협은 아직 미개척 블루오션이기 때문이다. 즉 스마트폰에 눈을 돌린 사이버 범죄자들이 많지 않아 보안 위협이 전해지지 않았을 뿐, 분명 많은 보안위협이 숨어 있을 것이라는 이야기다. 잠시 인터넷 뱅킹 보안 솔루션 도입 당시를 생각해보자. 대부분의 금융권은 벌떼처럼 금융감독원의 가이드라인에 턱걸이하는 보안솔루션을 갖추기 시작했다. 그러나 이렇게 일률적인 보안솔루션이 갖춰지면 새로운 보안 위협이 하나둘 늘어 가면 대책이 없다. 대부분 단시간에 구현된 기술은 향후 확장성이나 호환성을 염두에 두지 않고 구축하기 때문이다. 금융권의 입장에서는 이런 가이드라인이 편할 수도 있다. 시시각각 발생하는 보안위협에 맞춰 새로운 보안 솔루션을 수시로 도입하는데 골머리를 썩지 않아도 되기 때문이다. 그러나 이런 상황이 어떤 결과를 초래했을까? 인터넷 뱅킹 상황만 봐도 계속 덕지덕지 보안 솔루션을 위에 붙이는 형태가 됐으며, 가끔 말 못할 보안사고가 나면 쉬쉬할 뿐이다. 부디 스마트폰 뱅킹에서는 이런 상황이 반복되지 않았으면 한다. 스마트폰 환경은 인터넷뱅킹 환경과 흡사하기 때문에, 오래된 인터넷 뱅킹 보안 솔루션 개혁에 일조할 수도 있다. 금융서비스와 같은 중요한 보안 문제는, 일률적인 통제보다 시장논리와 보안위협에 따라 점진적인 보안강화로 이어져야 하지 않나 싶다. [오병민 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
