스마트폰의 확산과 더불어 나타났던 스마트폰뱅킹 문제. 이제는 논란이 공인인증서로 넘어갔다. 그러나 이런 논쟁에서 행여나 핵심이 빠져있지 않나 되돌아봐야할 것 같다.

그 핵심은 바로 “보안을 100% 완벽하게 한다는 것은 불가능에 가깝다”라는 것이다. 아무리 완전하다고 말하는 보안솔루션을 가져와도 보안을 완벽하게 지킬 수 있다고 보장할 수 없으며, 기술적인 논쟁은 한없는 미궁에 빠지게 만든다. 기술들은 기술 나름대로의 강점과 단점이 존재하기 때문이다. 따라서 기술로 모든 것을 해결한다는 것은 사실상 불가능하다.

그리고 또 하나 고려해야하는 핵심이 있다. 바로 “기술적인 부분보다는 기술외적인 보안 문제는 없는가?”하는 점이다. 사실 기술과 기술 외적인 부분 중에 어느 것이 더 중요하다고는 말하기 힘들다. 그러나 한 가지 확실한 것은 아무리 완벽한 보안 기술이 있더라도 기술외적인 문제, 즉 사람이 보안에 취약하다면 보안은 뻥 뚫리게 된다는 사실이다.

그리고 이런 점은, 인터넷뱅킹 해킹을 통해 돈을 갈취하려고 하는 아무개(범죄자)들도 아는 사실이다. 물론 어렵게 암호화를 뚫고 모든 보안 솔루션을 무력화 시키는 엄청난 기술로 인터넷뱅킹을 해킹하려는 실력자도 분명 존재하겠지만, 아마도 범죄를 모의하는 악당들은 대부분은 그럴 필요 없이 관리가 안 되는 PC를 노리거나 암흑시장에서 거래되는 개인정보를 구매해 비교적 어렵지 않게 인터넷뱅킹을 오용하려는 계획을 세우고 있을 것이다.

결국 기술적인 문제에 앞서 기술 외적인 문제에 대한 고찰이 더욱 시급하다는 주장이다. 국내 한 보안전문가는 “보안의 책임이 한쪽으로 몰리면 보안의 사각지대가 나타날 수 있다”고 경고한다. 보안에 대한 책임을 한쪽에만 지게 한다면 책임이 없는 반대편에서는 보안에 대한 불감증이 나타나 전체적인 보안 취약점이 나타날 수 있다는 견해다.

우리나라의 인터넷뱅킹도 이런 문제를 안고 있다. 우리나라 인터넷 뱅킹은 보안에 대한 의무와 책임을 은행에게만 지게하고 있다. 여기서 나타나는 문제는, 사용자는 인터넷뱅킹을 하는데 있어 보안에 전혀 신경을 쓰지 않게 된다는 사실이다. 만약 기본적으로 사용자가 안티바이러스와 같은 보안 솔루션을 이용하고 있다면, 오히려 은행에서 제공하는 안티바이러스 솔루션이 속도나 성능 면에서 장애가 될 수 있다.

이 같은 은행에 대한 보안 의무는 새로운 서비스를 보급하는데 있어서도 장애가 되곤 한다. 적어도 정부가 발표하는 가이드라인 정도의 보안 솔루션을 갖춰야한다는 강박관념을 만들고 있기 때문이다. 결국 새로운 서비스의 적용 시기는 항상 뒤늦기 마련이다.

그렇다고 해서 은행의 책임을 덜어야 된다는 이야기가 아니다. 이 같이 근본적으로 해결해야할 논쟁은 피하고 소모적인 논쟁에 열을 올리고 있는 현 상황이 과연 얼마나 보안에 도움이 될까하는 하는 우려를 이야기 하는 것이다.

앞에서는 은행의 보안의무에 대한 예를 들었지만, 이 외에도 해결해야할 많은 근본적인 이슈가 있다. 대부분은 보안에 대한 의식을 배제하고 기술에만 중점을 둔 부분에서 문제점이 나타나곤 한다. 우리가 지금 가장 먼저 해결해야할 문제가 뭔지 다시 한 번 돌이켜 봐야하지 않을까?

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>