은행과 사용자 책임이 한쪽으로 쏠리면 안 돼!

최근 친구의 공인인증서와 보안카드를 훔쳐 인터넷뱅킹을 조작해 돈을 빼낸 일당이 서울지방경찰청 사이버범죄수사대에 붙잡혔다.

사건의 전말을 살펴보면, P씨(피해자)의 친구인 A씨가 P씨의 공인인증서와 보안카드를 훔쳐낸 후 인터넷을 통해 C씨에게 대포통장을 부탁했다. 그 후 A씨는 내연녀 B씨에게 P씨의 공인인증서와 보안카드를 주고 인터넷뱅킹에 몰래 접속해 3회에 걸쳐 1,900만원을 C씨가 마련한 대포통장에 이체하도록 지시했다. C씨는 이 통장에서 돈을 인출해 A씨에게 송금하는 방법으로 범행을 진행했다.

경찰에 따르면, 이들 일당은 친구의 계좌에서 돈을 빼내도 은행에서 보험금을 지급하기 때문에 친구에게는 피해가 없을 것을 예상하고 범행을 저지른 것으로 전해지고 있다. 비록 이번사건에서는 피해자가 공범으로 연류 되지 않았지만, 계좌주인까지 연류 된 인터넷뱅킹 사고 자작극 모방 범죄가 나타날 경우에는 큰 사회적 문제로 대두될 수 있다는 것이 전문가들의 의견이다.

 

물론 그동안 인터넷뱅킹 사고 자작극에 대한 가능성이 없었던 것은 아니다. 그러나 공식적으로 발생한 사건과 피해가 없어 크게 이슈 되지 않았을 뿐. 그러나 이번 사건을 통해 자작극의 가능성이 충분히 입증돼 향후 이에 대한 대책이 요구되고 있다.

자작극 가능한 이유...은행의 과도한 책임?

“어떻게 인터넷뱅킹 사고 자작극이 가능할까?”라는 물음에 대한 답으로 전문가들은 두 가지 대답을 제시한다. 우선 첫 번째로 은행의 과도한 책임에서 비롯된다고 답하는 전문가들이 적지 않다.

금융권의 한 관계자는 “현재 인터넷뱅킹에서 가장 문제가 되는 부분은 관리 소홀로 인해 공인인증서나 보안카드가 노출 되는 등 사용자 과실이라고 볼 수 있다”면서 “그러나 현재 법상 사용자 과실에 대한 입증을 금융권이 해야 하기 때문에 수사권이 없는 금융권이 사용자 과실을 입증하는 것은 거의 불가능한 수준이다”라고 언급했다.

은행에서 인터넷뱅킹 사고는 치명적인 이미지 손실로 이어진다. 게다가 만약 공인인증서와 보안카드를 분실한 사용자 과실로 인한 사고라고 하더라도, 은행은 ‘인터넷뱅킹 해킹’이라는 오명을 쓰고 ‘보안관리 허술’이라는 지탄을 받게 되는 것이 사회적 분위기다. 물론 보험가입의 의무화 돼 있으나 실효성이 부족하다는 의견이 많다.

또 다른 금융권의 한 관계자는 “결국 현재 인터넷뱅킹 사고 처리 프로세스는, 은행들이 사고 소식의 전파를  최소화하고 외부에 알려지지 않는 선에서 피해자와 합의하는 것이 관행을 만들도록 돼 있지 않나?”라는 의문을 제시하기도 했다.

그러나 은행에게 사용자 과실까지 입증하도록 하는 책임이 주어진 이유는 은행에게 있었다고 해도 과언이 아니다.

보안업계의 한 관계자는 “초기 인터넷뱅킹이 활성화 되는 시기에는 은행의 보안 시스템을 노린 범죄가 점차 늘어나고 2005년에는 실제로 인터넷뱅킹 해킹 사고가 알려져 사회적 문제로 대두되기도 했다”면서 “그러나 당시 은행은 대부분의 책임을 사용자에게 떠넘기는데 급급했기 때문에 이와 같이 은행의 책임이 늘어난 것”이라고 설명한다.

인터넷뱅킹 이용자들 보안 솔루션에 대한 신뢰도 낮아

두 번째는 현재 인터넷뱅킹 보안솔루션에 대한 신뢰도가 낮다는 문제를 제기한다. 대부분 이용자들은 인터넷뱅킹 보안솔루션의 허점이 분명히 있을 것이라고 여기고 있기 때문이다.

보안뉴스의 2008년 인터넷설문조사에 따르면, 총 607명이 참여한 설문조사에서 우리나라 인터넷뱅킹 보안솔루션을 신뢰한다는 의견은 15%(94명)에 그쳤다. 그리고 신뢰할 수 없다고 밝힌 이들 중 편의상 인터넷뱅킹을 사용한다고 대답한 응답자는 69%(422명)로 다수를 이뤘다.

다소 오래된 설문조사이지만 그동안 인터넷뱅킹 보안솔루션에서 큰 변화가 없었다는 것을 감안할 때, 이 조사에서 주는 의미는 적지 않다. 이용자들이 인터넷뱅킹 보안솔루션에 신뢰를 하지 않는 상태에서, 은행이 사용자 과실로 단정 짓고 책임을 밝히는 것은 쉽지 않기 때문이다.

인터넷뱅킹 사고 해법 마련될까?

결국, ‘인터넷뱅킹 사고에 대한 보안기능이 충분한가?’에서 ‘인터넷뱅킹 사고가 보안 때문인가?’라는 또 하나의 의문이 발생하게 됐다. 쉽게 말하면 ‘정말 해킹에 의한 사고인가?’ 아니면 ‘짜고 은행을 대상으로 사기를 친 것인가?’의 판단이 요구된다고 볼 수 있다. 이런 이슈가 제기되자 금융권 관할 부처와 기관은 매우 분주하게 움직이고 있다.

금융결제원은 이에 대한 대비로 로그분석시스템을 도입해, 공인인증서를 이용한 특정인의 거래 내용에서 수상한 점이 발견되면, 이용자에게 내용을 통보하고 큰 액수의 이체를 제한하는 등 정책을 설정하고 있다. 특히 이용자가 공인인증서를 자주 재발급 받거나 수상한 계좌로의 이체가 잦을 경우 등이 해당된다.

아울러 금융위원회는 이번 사고로 자작극 가능성이 있다고 보고 대책마련에 들어갔다. 금융위원회의 한 관계자는 “현재 보안문제와 사기의 가능성을 모두 아울러 전반적인 조사를 위해 민간전문가와 금융권 담당자들을 포함한 TF팀을 구성해 현황파악을 진행 중이다”라고 말하면서 “우선은 현황파악이 목적이지만 향후 법과 보안장치 전반적인 개편을 목표로 작업을 진행할 계획이다”고 밝혔다.

보안업계의 한 전문가는 “은행이나 사용자의 책임이 한쪽으로 쏠리게 되면 문제는 발생할 수밖에 없다”면서 “이를 잘 조율해 금융정책과 금융보안정책을 개편해야할 필요성이 있다”고 강조했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>