카카오뱅크가 세간의 이목을 집중시켰다. 기존의 모바일 뱅킹에서 당연시해 온 보안 절차는 사라지고 단순한 인증과 이체가 눈길을 끌었다. 사용자는 물론 경쟁 은행도 놀랐다. '그동안 거치던 보안은 당연한 것이 아니었는가'라는 질문을 하게 된다. 여기저기서 카카오뱅크 보안의 비밀을 파헤쳤다. 어떤 보안 솔루션을 썼는지를 찾기에 급급했다. 그런데 이렇다 할 제품을 찾을 수 없었다.
기술이 아니라 프로세스를 바꿨기 때문이다. 서비스 설계 처음부터 보안을 고려했다. 보안 내재화(Security by Design)다. 그동안 국내 기업은 특정 서비스나 제품을 만들 때 보안을 고려하지 않았다. 우선 서비스를 만들고 내부나 외부 해커를 이용, 취약점을 찾았다. 이후 구멍 난 부분을 메꿨다. 구멍은 계속 발견되고, 그때마다 이를 보완하기에 급급했다. 서비스는 점점 누더기가 됐다.
카카오뱅크는 우선 가장 튼튼한 집을 지을 수 있는 벽돌과 진흙을 골랐다. 틈을 만들지 않는 설계를 하고, 벽돌을 쌓아 올렸다. 가능한 한 재료의 특성을 최대한 활용하면서 틈을 만들지 않는 형태를 고려했다. 서비스 설계부터 보안팀과 개발팀이 함께 편의성, 안전성을 고민했다. 선 개발 후 보안 방식을 버렸다. 운용체계(OS)와 단말기의 보안 기능을 최대한 활용, 서비스를 구현했다.
뱅킹은 물론 사물인터넷(IoT)은 반드시 보안을 먼저 고려해야 한다. 보안이 안 된 IoT는 재앙을 부른다. IoT 기기는 저전력에다 메모리 용량도 작다. 한 번 설치되면 프로그램 업데이트 등 사후 관리가 어렵다. 보안 내재화는 선택이 아닌 필수다.
김인순 보안 전문기자 insoon@etnews.com