<홈뱅킹 보안대책 (상)>
인터넷 홈뱅킹에서 해킹, 내부 전산관리자의 사기 혹은 암호해독을 방지할 수 없다면 전자상거래 및 전자금융거래 등의 정보보안도 보장될 수 없다.
제공할 보호서비스가 있으면 이에 적합한 메커니즘과 암호 알고리듬을 개발해서 정보보호시스템을 구축한다. 이러한 기술 대책 외에도 관리 대책과 법 대책이 동시에 이뤄져야 한다.
금년 7월 1일부터 시행하고 있는 개정 형법으로 해커나 기타 전산관련 범죄자를 처벌할 수 있어 홈뱅킹 컴퓨터 범죄도 대상이 된다. 그러므로 국내에서의 법 대책은 일단 마련된 것으로 보여진다.
관리 대책이 홈뱅킹의 사기를 실제로 예방하는데 큰 역할을 한다. 안전조직체계의 설계, 정보의 기밀등급 분류, 사용자 자격관리 및 전산범죄의 탐지 등을 구축하고 관리해야 한다. 이를 위해서는 전산보안 전문인력 채용이 최선책이다. 국내 금융사업자는 전산보안 관리자를 일반 전산관리자와 구분하고 필요한 인력을 양성 혹은 확보하는 것을 매우 시급한 사안으로 다뤄야 한다.
기술 대책은 보호서비스를 경제적이고 효과적으로 제공하는 방법으로서 법, 관리 대책과 더불어 필히 구축돼야 한다. 홈뱅킹에서 최소로 요구되는 보호서비스로는 인증과 무결성 보장이다. 인증은 사용자를 검증하는 서비스이고 무결성은 거래한 금액 등 내용이 틀림없다는 것을 보장하는 서비스다. 현재 국내 홈뱅킹에 무결성 서비스는 암호로 제공되지 않고 있다.
이 두 서비스는 사업자와 고객간에 동일한 비밀키를 사용하는 비밀대칭키방식과 완전히 다른 형태의 공개키방식이 있다. 현재 국내 홈뱅킹은 패스워드를 사용하는 전자방식이며 후자에 비해 내부 전산관리자가 사기하기 쉽다. 또한 이 패스워드가 노출되면 외부 전산사기의 기회가 높아지고 해커들이 노리는 대상이기도 하다.
현재 홈뱅킹에서는 인터넷 상으로 패스워드를 직접 보낸다. 비밀자료는 「비밀」의 단어가 지니는 정의에 따라서 외부로 노출되지 않도록 해야 한다. 이런 문제를 해결하는 한 방법으로 거래할 때마다 패스워드를 바꾸는 「원타임패스워드기법」도 있는데 홈뱅킹의 무결성서비스 제공이 불편하고 다른 보호서비스을 위한 확장성도 약해서 근본적인 해결책이 되지 못한다.
사업자와 고객의 컴퓨터내에 DES와 같은 데이터 스크램블링용 소프트웨어를 사용하여 패스워드를 암호해서 전송하면 비밀의 노출을 막을 수 있다. 또한 비밀키와 내용 데이타를 입력으로 하는 메시지인증코드 생성 알고리듬을 구동하면 무결성서비스도 제공된다. 스마트카드라고 불리는 IC카드를 사용하면 이 정도의 보호기능은 카드내에서 수행될 수 있어 더 안전하게 되는 것이다.
현재 국내에서 이러한 8비트 CPU의 IC카드가 공급될 수 있고, 또한 국내 정보보호 기술수준을 고려하면 개발이 가능하리라 본다. 그리고 미래형인 공개키방식의 홈뱅킹 시스템 도입에 차질이 없도록 이를 위한 개발도 동시에 서둘러야 한다.
<경북대 문상재 교수>