금융감독원이 최근 스마트폰 결제와 관련한 안전 기준을 발표한 것에 대해 새로운 기술 동향 및 시장 흐름과 거리감이 있다는 지적이 나오고 있다.
스마트폰 해킹 등 보안 위협의 가능성이 제기되고 있지만, 현실화되지 않은데다 현재 기술적으로 별다른 문제가 없는 상황에서 성급하게 지나친 기준을 제시해 스마트폰 시장 성장에 찬물을 끼얹을 수 있다는 우려다.
27일 업계에 따르면 금감원이 발표한 스마트폰 안전대책에서는 인터넷 뱅킹과 결제 등 전자금융서비스 이용 시 다단계로 가입자 확인절차를 거치고, 로그인할 때 사용자 인증을 강화하도록 했다.
또 악성코드 예방대책을 적용하고 전자서명을 의무화하는 한편 통신 구간을 암호화하도록 했다.
이는 스마트폰에서도 공인인증서 사용을 의무화하고, 업체는 애플리케이션에 백신을 의무적으로 설치해야 한다는 것으로 풀이된다.
금감원 관계자는 “스마트폰이 ’내 손안의 PC’인 만큼, PC와 비슷한 수준으로 보안 대책을 마련했다”고 설명했다.
이에 금감원의 대책 발표 이전에 아이폰용 금융거래 애플리케이션을 배포했던 하나은행과 G마켓 등은 새 기준에 맞춰 금감원의 보안성 심사를 받았거나, 대기해야 하는 처지에 놓였다.
그러나 아이폰의 경우 해외에서도 악성코드에 감염된 사례가 보고되지 않았다. 또 이용자가 무료 애플리케이션을 사용하기 위해 스스로 잠금장치를 해킹할 경우에만 해킹 위험에 노출될 수 있다는 경고가 나오고 있다. 이 경우는 해킹 등의 사고가 발생하더라도 전적으로 이용자가 책임질 수밖에 없다.
더구나 아이폰에서는 기술적으로도 공인인증서를 사용하는 게 쉽지 않다는 게 보안 전문가들의 의견이다.
아이폰 운영체제(OS)는 음악 재생 외에 두 개 이상의 프로그램이 동시에 작동되는 멀티태스킹 기능이 지원되지 않기 때문에, 애플리케이션과 공인인증서가 동시에 작동될 수 없다. 또 애플리케이션이 실행되는 도중 악성코드도 활성화될 수 없어 해킹이 원천 차단되는 시스템이라고 보안 전문가들은 설명했다.
다만 일부 은행은 아이폰 애플리케이션에 공인인증서를 내장하는 방식 등의 우회로를 선택했다.
하지만 이는 해킹에 대한 우려로 공인인증서를 PC에 저장하지 않도록 캠페인을 펼치고 있는 정부 정책과 거꾸로 가는 방식이다.
결국 금감원이 제시한 기준을 맞추기 위해서는 정부 정책 방향과 역행하는 선택을 해야 하는 아이러니한 상황이 벌어진 셈이다.
이와 관련, 행정안전부 관계자는 “스마트폰에서도 공인인증서 내장 방식이 아니라 별도의 분리된 칩을 이용하는 형태로 가야 한다”고 말했다.
여기에 스마트폰 시장이 국내보다 2∼3년 먼저 형성된 미국과 일본의 경우도 모바일 뱅킹 및 결제 과정의 보안 수준을 업계 자율에 맡기는 형국이다.
물론 구글 OS인 안드로이드 기반에서는 멀티태스킹을 지원하고 있기 때문에, 안드로이드폰을 이용할 경우 모바일 뱅킹이나 결제를 하면서 USB 등을 통해 공인인증서를 작동시킬 수 있다.
문제는 모바일 뱅킹 및 결제 과정이 복잡하다면 이용자들의 사용 욕구가 떨어져 장기적으로 스마트폰 시장 활성화에 장애 요인이 될 수 있다는 점이다.
하물며 금감원도 이 같은 우려를 인식하는 분위기다. 금감원 관계자는 “(스마트폰 시장) 발전을 저해할 수 있는 측면도 있지만 해외에서 잠재적 위협이 있는 상황”이라며 “국내 업체에서도 관련 솔루션을 개발하고 있는데, 감독자 입장에서 한번 숙제를 던져준 것”이라고 말했다.
이 같은 난맥상은 국내 보안 수준이 업계 자율보다는 정부 규제에 의해 결정되온 관례에 기인한다는 게 보안 전문가들의 분석이다.
한 보안 전문가는 “선진국은 정부가 일정한 기준을 제시하면 업계가 스스로 서버 보안 등에 심혈을 기울이고, 이용자는 스스로 백신 등을 사용해 PC나 휴대전화에 대한 보안을 책임지는 문화”라고 말했다.
그는 또 “정부가 스마트폰 백신 기능에 대한 일정 기준만 정해준다면, 업계는 자율적으로 내부 보안 뿐만 아니라 외부 보안을 위해 노력할 수 있다”면서 “이러한 과정에서 보안 수준이 강화될 수 있고, 이용자들도 자연스럽게 보안 수준이 높은 회사의 서비스를 이용하게 될 것”이라고 강조했다.
금감원도 이에 상당 부분 수긍하고 있다. 금감원 관계자는 “업계가 자율적이고 창의적으로 보안문제를 해결해 서비스가 활성화되도록 해야 하지만, 금융회사들이 금감원만 바라보고 있다”면서 “이번 대책은 사회 전반적인 인식이 크게 작용한 것”이라고 말했다.
[연합뉴스]