금융감독원이 일회용비밀번호(OTP)를 통합인증해 주는 금융보안전담기구 설립을 추진하면서 금융기관 간 갈등이 불거지고 있다. 금융보안을 위해 각각 금융과 증권 분야 정보공유분석센터(ISAC)를 운영중인 금융결제원과 코스콤은 중복투자라며 극렬히 반대하고 나섰다. 은행들은 금감원의 눈치를 보면서도 금융ISAC에 더해 또 다른 기구에까지 추가비용을 부담해야 하느냐며 볼멘소리다. 이 같은 내홍 속에서도 금감원은 금융보안전담기구는 어디까지나 은행이 주체가 돼 공동으로 설립하는 민간단체라며 강행할 태세다.
금융 분야 감독기관인 금감원이 금융IT의 중요성을 인식하고 안정성과 신뢰성을 위해 관심을 기울이고 있는 것은 환영할 만하다. 금융 분야는 이미 IT 없이는 업무 자체를 수행할 수 없을 만큼 IT와 일체화돼 있어 금융거래 효율화와 안정화에 필요한 조치를 IT 분야로까지 확대 적용하는 것은 자연스러운 일이다. 그러나 이번 금융보안 전담기구 설립만은 자연스럽지 못할 뿐더러 억지에 가깝다고 본다.
OTP인증이란 일정금액 이상 거래하는 주요 고객들을 더욱 안전하게 보호하기 위해 전자공인인증 후에 추가로 OTP를 발급해 주는 보완장치다. 개별 은행이 이미 활용하고 있는 고유 비밀번호 방식의 보안카드와 별로 다를 게 없다. 다른 점이 있다면 OTP는 거래 때마다 다른 비밀번호가 일시적으로 생성된다는 것뿐이다. 이미 각 은행이 특정 고객들에게는 보안카드나 OTP를 자체적으로 발급해 주고 있는데 왜 굳이 새로운 통합기구가 필요한지 쉽게 이해가 가지 않는다.
더욱이 보안카드를 대신할 좀더 확실한 추가 보안장치로는 OTP만 있는 게 아니다. 일명 암호토큰(ATSM)도 유력하게 부상하고 있다. 개인이 휴대하는 USB메모리에 인증코드를 부여하는 방식이다. ATSM 방식은 고객이 휴대하기 때문에 OPT처럼 별도의 인증센터가 필요하지 않다. 기존의 보안카드도 이중 비밀번호 입력 방식 등으로 업그레이드되면서 보안성이 높아지고 있어 새로운 대안으로 주목받고 있다.
따라서 완벽한 금융보안을 위한 추가 보완장치는 보안카드든, OTP든, ATSM이든 어느 것이 절대적 우위에 있는 것이 아닌만큼 은행이 선택하도록 맡겨둬야 한다. 대신 금감원은 각 은행이 어느 쪽을 선택하든 연동성을 제공하도록 감시감독하면 된다. 아무리 정보보호가 뛰어나더라도 은행 간 연동이 안 된다면 고객의 불편과 외면을 초래하기 때문이다. 더불어 해킹에 대비하는 등 추가적인 보안연구 기능은 기존의 ISAC에서도 수행할 수 있는만큼 여기에 맡겨도 충분하다.
금감원은 이 시점에서 금결원과 코스콤의 역사를 되새겨 보기를 바란다. 금결원과 코스콤은 정부가 주도해 사실상 반강제적으로 설립한 통합기구다. 금결원은 지난 1960년대 말 재무부 주도로 13개 은행이 공동으로 설립한 금융기관 전자계산본부(KBCC)가 전신이다. KBCC는 얼마 후 각 은행이 전산시스템을 도입하면서 본연의 업무가 없어지는 바람에 은행지로관리와 어음교환 업무를 통합해 지금의 금융결제원으로 재탄생됐다. 코스콤 역시 증권기관 전산업무 공동이용기관으로 증권거래소 주도로 설립된 한국증권전산이 모태다. 이 역시 얼마가지 않아 주요 증권사들이 공동온라인시스템에서 탈퇴하면서 주업무가 증권거래소 업무의 전산용역으로 바뀌었다.
그나마 60년대와 70년대에는 초기 투자에 대한 위험성이 워낙 높아 금융기관들이 IT 분야에 공동투자할 필요성이나마 있었다. 하지만 지금은 금융기관들도 거대화됐고 IT에 대한 노하우도 깊어져 초기투자 위험성을 줄이기 위해 공동투자할 이유마저 없어졌다. 더는 금융IT에서 금융기관의 의사에 반해 정부가 억지 통합하는 일이 있어서는 안 된다.