안전한 사이버금융을 위해 금융회사와 사용자 모두 노력해야

지금까지 발생한 크고 작은 금융보안 사건은 금융회사와 사용자 양쪽 모두의 문제다. 금융회사는 적절한 보안 대책을 마련하고 사용자들이 안심하고 사이버금융을 이용할 수 있도록 환경을 구축해야 하고 사용자들도 안전한 금융거래를 위해 이용자 수칙을 준수해야 한다.

금융보안 사고와 관련해서 은행권 인터넷 뱅킹에 대한 해킹사고가 끊이지 않자 정부는 사이버 금융보안 체계를 강화하는 등 많은 노력을 해오고 있다. 우리나라는 다른 나라보다 앞선 사이버 금융시장을 만들기 위해 시장도입을 촉진 시키는데 주력하고 있었다. 그런 상황에서 금융권의 해킹사고는 사용자의 불안을 증폭시킬 우려가 있어 2007년 1월 전자금융거래법 시행 금융기관에 대해 사고입증 책임을 강화하는 방안을 내놓았다. 결국 사이버금융 사고가 발생할 경우 은행이 사용자의 과실을 입증하지 않으면 책임을 져야한다는 방침을 세운 것이다.

아울러 보안카드 보다 뛰어난 보안 해결책으로 OTP(일회용 비밀번호 생성기)를 국내에 도입하는 방안이 제시됐고 2007년 6월에는 은행권에 OTP 도입을 촉진시키기 위해 OTP통합인증 센터를 설립하기에 이르렀다. 각자 진행해야 했던 OTP인증체계를 하나로 묶어 체계적인 관리로 OTP도입을 활성화 시키겠다는 것이었다.

보안의식 제고 위한 교육ㆍ홍보 부족

보안 전문가들은 최근 잇달아 나타나고 있는 사이버 금융보안 사고의 문제점으로 사용자들의 보안의식을 지적했다. 최근 밝혀진 금융보안 사고가 대부분 보안카드나 개인정보 관리의 허점에서 나오고 있다고 보고 있기 때문이다. 이와 관련해서 성재모 금융보안연구원 보안기술본부 본부장은 “많은 사용자들이 IT의 편의성을 추구하다보니 보안의 허점을 드러내는 경우가 많은데 이는 아무리 보안솔루션을 잘 갖추고 있었어도 허점이 나타날 수 있다”고 말했다.

사용자들은 자신의 주의해야 할 점이다. 즉 사용자들의 PC에 바이러스 백신과 실시간 감지 툴 등을 설치해 최소한의 보안이라도 해야 안전한데 개인의 PC에 최소한의 보안도 하지 않은 사용자들이 이러한 PC를 이용해 인터넷 뱅킹이나 온라인 쇼핑을 하게 되면 사용자의 계자정보와 신용정보가 악성해커에 의해 빠져나갈 수 있는 가능성은 충분하다. 

이에 한 보안 전문가는 “시중에 노출된 개인정보는 수천만건에 이를 것이며 이는 우리나라에 있는 국민 거의 대다수의 정보일 수 있다”고 말했다. 노출된 개인정보는 최근 몇 년 사이 잇달아 터진 개인정보 유출사고와 법에서 정한 개인정보보호를 위한 조치 등의 의무사항을 잘 지키지 않는 사이트나 불법사이트에서 유출됐거나 사이트 해킹으로 인한 개인정보유출 등 여러 가지 다양한 방법으로 악성브로커들의 손에 넘어가 있는 것이다.

이렇게 수집된 정보는 최근 경찰에서 공개한 사건과 같이 비교적 저렴한 가격에 국내 유명 사이트의 회원 정보로 둔갑되어 거래되고 있는 것이다.

한 관계자는 “인터넷 뱅킹에서 절대 외부로 노출되지 말아야할 것은 ID와 PW뿐만 아니라 보안카드, 공인인증서, 이체비밀번호까지 포함된다”며 “하지만 보안카드를 꺼내 사용하기가 귀찮다는 이유로 포털 메일에 저장하거나, PC방과 같이 외부로 노출된 곳에 공인인증서를 설치하는 등 사용자의 부주의가 심각한 수준”이라고 지적했다.

이 같은 보안의식 부족으로 인한 사용자 부주의에 대해 정부와 관련 기관들은 적절한 대응책을 만들고 사용자와 금융회사 임직원들의 보안의식 고취를 위해 다양한 홍보와 교육을 진행하고 있다.

사용자 과실 입증 시스템 부재

많은 사용자들이 인터넷뱅킹 해킹 사고라고 불리는 사이버금융보안사고에 대해 막연한 불안감을 갖고 있는 이유는 사건이 발생하면 모두가 쉬쉬하고 있기 때문이다. 사고가 발생했을 경우 일단 은행이 사용자의 과실을 밝혀내지 못하면 책임을 져야하는 구조가 이러한 불안감을 확대시키고 있는 것.

대부분의 사고가 사용자의 과실에서 나타난다고 업계에서는 이야기한다. 그렇다 해도 사용자의 과실을 증명하는 것은 쉽지 않다. 가령 이전에 터졌던 한 은행의 해킹사고의 경우 해킹이라고 주장하는 사용자와 사용자의 과실이라고 주장하는 은행과 팽팽하게 맞선 적도 있다. 피해자는 은행에서 보안을 위해 권유하는 OTP를 사용하고 보안카드관리도 잘 했음에도 불구 사고가 발생했으니 해킹이라는 주장을 펼쳤다. 허나 경찰 수사결과에서 보안카드를 온라인에 저장한 것으로 나타나면서 과실로 기울기 시작했다. 하지만 이런 과정이 발표된 시기는 이미 언론에서 인터넷 뱅킹 해킹에 대한 보도가 수차례 나간 상황이었다.

결국 현재 은행권에서는 해킹을 당했든지 사용자의 과실이든지 대외적으로 공개되는 것은 도움이 되지 않는 것으로 인식하게 됐고 이는 불안감을 더욱 가중시키는 상황을 초래하게 됐다. 이에 대해 한 금융보안 전문가는 “해킹인지 사용자의 과실인지 입증할 수 있는 시스템이 필요해 보이며 이런 시스템의 부재는 공모사기를 부추길 수 있다”며 “사용자의 과실과 해킹을 입증할 수 있는 시스템이 도입된다면 금융사들이 사고에 대해 쉬쉬하지는 않을 것”이라고 지적했다.

특히 메모리 해킹과 같은 새로운 해킹기술이 나타나면서 그동안 강조했던 보안솔루션의 허점에 대한 지적이 적지 않지만 일방적인 기술도입으로 인해 대안 보안 기술을 제공하는 업체들을 찾아 볼 수 없다는 것은 현 시점에서 큰 문제점으로 부각되고 있다.

업계의 한 관계자는 “현재 외국에서는 아이디나 패스워드, 그리고 이체 비밀 번호와 별개로 OTP나 휴대폰인증, ARS인증 등 다른 보조 보안 솔루션을 이용하도록 하고 있어 만약 OTP에 보안 취약점이 발견 된다하더라도 다른 기술로 대체할 수 있는 선택권을 가지고 있다”면서 “금융권은 안정성을 가장 추구하기 때문에 어느 정도 검증된 기술도입이 필요하지만 우리나라의 경우 그동안 금감원에서 제시한 기술 외에 다른 기술은 쉽게 찾아볼 수 없기 때문에 새로운 기술을 들고 온 기업이 있더라도 이를 도입하기란 쉽지 않을 것”이라고 말했다.

<글 : 글_ 김태형 기자(is21@boannews.com) | 호애진 기자(is@boannews.com) | 오병민 기자(boan4@boannews.com)>

[월간 정보보호21c 통권 제116호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>