금융권 피해사례
얼마전 H은행에서 폰뱅킹 비밀번호를 알아내는 수법으로 거액의 도난사고가 일어났었다. 이같은 사례를 보고 은행권 전산담당자들은 가슴을 쓸어내렸다. 어느 은행이든 이같은 범죄수법에 대한 대비책이 없었기 때문이다. 물론 자체적인 해결 노력은 있었다.
K은행의 경우 지난해 국내에서 개발된 일회용 비밀번호생성기(OTP)의 도입을 시도했다. 서버와 OTP카드만 있으면 폰뱅킹, PC뱅킹 이용시 수시로 비밀번호의 교체가 가능해 H은행의 금융사고 정도는 미연에 방지할 수 있다고 판단했기 때문이다.
그러나 당시 K은행의 이같은 시도는 재정경제부의 보안정책 때문에 제동이 걸렸다. 이 제품에 적용되는 암호 알고리듬이 외산이고 은행권 공동의 표준제품이 아니기 때문이라는 것이 재경부의 반대논리였다. K은행의 사례를 지켜본 대다수 은행은 재경부의 이같은 눈치를 감지, OTP의 도입을 당장 접어두고 「알아서 기는」 수밖에 없었다.
한 예에 불과하지만 재경부 보안정책이 일선 금융권에 미치는 폐해를 단적으로 보여주는 사례다.
◇재경부 보안지침 및 정책관행=재경부는 지난 95년 자체 내부보안 지침을 제정, 일선 금융권에 적용하고 있지만 안기부의 그것과 별반 다를 게 없다. 문제는 여기서 출발한다.
대표적인 민간 산업분야인 금융권의 전산망 보안대책을 재경부가 일일이 간섭함으로써 결과적으로 자율적인 정보화 및 정보보호 대책마련을 크게 위축시키고 있기 때문이다.
사실 금융권에 도입되는 보안제품은 국산이어야 하고 그것도 일일이 재경부, 안기부의 보안성 검토를 거쳐야 한다는 보안지침의 내용은 정보화와 관련해 사실상 자율적인 「개별행동」을 삼가라는 뜻인 것으로 전산실무자들은 받아들이고 있다.
◇금융망 정보보호 현황=금융망의 구성분야를 시스템, 네트워크, 고객접점 등으로 약간 단순화시켜 본다면 기술적인 보안대책이 제대로 마련된 부분은 단 한군데도 없다는 게 일선 전산망 운용자들의 솔직한 고백이다. 강력한 보안수단인 암호제품의 도입이 가로막혀 있기 때문이다.
실제 대다수 은행은 가장 중요한 고객 원장도 난수표 등을 통해 약간 변형시킨 데이터를 호스트에 저장하고 있는 실정이다.
◇일관성을 상실한 정보보호 정책관행=하지만 재경부 보안정책은 그 일관성도 상실하고 있다는 지적을 받고 있다.
우선 재경부 종속도가 그나마 덜한 지방은행과 제2, 제3 금융권의 경우 규제가 비교적 덜하다. 이에 비해 일반 시중은행권에 대한 구속력은 압도적이라는 게 일선 금융기관 전산담당자들의 시각이다.
대표적인 실례로 지난 94년 동남은행이 국내 최초로 도입한 IC카드 전자지갑의 경우를 들 수 있다. 당시 재경원은 동남은행의 전자지갑에 적용되는 암호 알고리듬이 공개된 상용제품임에도 보안성 검토를 거치지 않고 허가했다. 하지만 최근 들어 IC카드 지불수단을 도입하기 위해 대형 시중은행이 잇달아 허가를 요청했으나 여기에 적용되는 암호 알고리듬이 외산이라는 이유로 반대하고 나섰다.
그러면서도 외산 암호 알고리듬이 적용된 보안제품이 적용되는 곳도 있다. 금융망 가운데 유일한 암호장비가 사용되는 은행 직불카드 전산망에 미국산 DES 암호 알고리듬이 이용되고 있는 것이다.
재경부의 보안정책은 은행감독원과도 마찰을 빚고 있다. 은행감독원은 날로 급증하는 금융사고를 감안, 이미 수차례 각급 은행에 자율적인 암호제품 등을 도입하도록 권고했으나 재경부가 딴죽을 걸고 있는 상황이다. 한마디로 일선 금융권의 전산운용자들은 헷갈릴 수밖에 없다는 게 한결같은 견해다.
◇앞날이 보이지 않는 재경부 보안정책=재경부도 조만간 비공개 국산 암호 알고리듬이 적용된 암호장비를 은행권에 도입토록 할 것이라고 밝히고 있다. 하지만 금융망 보안대책의 극히 일부에 불과한 이 제품의 도입이 전부가 아니며 더 큰 문제는 이같은 재경부의 획일적 정책하달 관행이라고 전문가들은 주장한다. 결국 금융권 자율에 맡겨야 한다는 얘기다. 특히 재경부의 고집처럼 암호장비에 국내 독자적인 암호 알고리듬을 채택할 경우 해외와의 호환결제가 불가능해 국내 금융권으로선 인터넷 전자상거래(EC)와 금융기법의 결합이라는 대세에 뒤처지는 운명을 맞을 것이라는 게 대체적인 진단이다.
<서한기자>