앞으로는 방화벽이나 키보드 보안 등의 용도로 쓰이는 금융사 보안프로그램을 의무적으로 다운로드하지 않아도 될 전망이다.
액티브X·공인인증서 폐지 등 제도 변화와 맞물리면 금융소비자의 전자금융거래 관행에 상당한 변화가 일어날 것으로 예상된다.
보안기능 약화를 우려하는 목소리도 있다. 금융권과 보안전문가들은 이번 조치가 국내 금융보안 상황을 전혀 고려하지 않고 전자금융 거래 시 PC 보안을 책임지던 최소한의 장벽을 아무런 대책 없이 열어주는 셈이라며 우려하고 있다.
19일 금융위원회 등 금융당국에 따르면 이달 말 전체회의에서 금융사가 전자금융거래 보호 차원에서 금융서비스 이용자가 보안프로그램을 다운로드하도록 해야 한다는 전자금융감독규정상의 조항을 삭제할 예정이다.
금융당국 관계자는 “금융산업의 사전 규제를 사후 점검으로 바꾸는 차원에서 금융 관련 보안프로그램 다운로드 의무를 삭제하는 것”이라며 “다음 달 시행되지만 금융사의 준비기간 등을 감안할 때 4월 이후 실제로 적용될 것”이라고 설명했다. 그는 “다만 보안프로그램을 원하는 사람들은 지속적으로 설치할 수 있도록 할 예정”이라고 말했다.
현행 전자금융감독규정은 금융회사나 전자금융거래업자가 해킹 등 침해행위로부터 금융소비자를 보호하고자 이용자 PC나 휴대전화 같은 전자 장치에 보안프로그램을 설치하도록 하는 등 보안대책을 적용해야 한다고 의무화하고 있다.
이 규정을 삭제하면 금융소비자가 특정 금융사와 인터넷이나 모바일상에서 전자금융거래를 개설할 때 내려받아야 했던 방화벽과 키보드보안, 공인인증서 등 금융 보안프로그램 3종을 받지 않아도 된다. 보안프로그램 설치 의무 삭제와 액티브X·공인인증서 폐지 조치가 맞물리면 금융 소비자는 마이크로소프트 이외의 브라우저인 구글 크롬, 사파리 등으로 자유롭게 금융거래를 할 수 있다.
하지만 이 같은 결정에 금융권과 보안업계는 당혹스럽다는 반응이다. 현재 우리나라 개인 대부분은 공인인증서를 하드웨어보안모듈(HSM)이 아닌 PC 하드디스크드라이브(HDD)에 보관한다. 반면에 국내 전자금융거래를 노리는 공격자 수법은 더욱 지능화하고 다양해졌다. 공격에 자주 쓰이는 윈도나 어도비, 자바 취약점 등을 최신으로 업데이트하려는 인식도 매우 낮다. 이런 상황에 그나마 전자금융 거래 시 PC 보안을 책임지던 최소한의 장벽이 이번 조치로 사라지는 셈이다.
한 보안회사 대표는 “현재 금융사 이상거래탐지시스템(FDS)은 사용자 환경 정보에 기반을 두고 불법 금융사고를 탐지, 사전에 발견하고 통보해 이용자 피해를 최소화한다”며 “최소 보안 프로그램마저 다운로드하지 않는다면 불법 사용을 탐지할 방법이 없다”고 토로했다.
한 은행권 관계자는 “여론에 편승한 사후 약방문식 간편 결제 단기 대책보다는 장기적인 관점에서 보안 가이드라인을 만들고 과거 정보유출 사고 경험에 바탕을 둔 편의성과 보안성의 균형을 잡은 핀테크 정책이 나와야 할 것”이라고 경고했다.
홍기범기자 kbhong@etnews.com
김인순기자 insoon@etnews.com
길재식기자 osolgil@etnews.com
