영국의 유수 대학이 한국의 허술한 인터넷뱅킹 보안 환경을 꼬집는 논문을 발표했다.
영국 옥스포드 대학과 캠브리지 대학 허준호·김형식 박사 연구팀은 ‘한국의 인터넷뱅킹 보안’이라는 제목의 논문을 통해 액티브엑스 플러그인 방식은 안전한 거래 플랫폼이 될 수 없다고 7일 지적했다.
국내에서 인터넷뱅킹 보안 방식에 대해 지적하는 목소리는 높았지만 이렇게 외국 대학에서 논문으로 분석된 것은 이번이 처음이다.
연구팀은 한국 인터넷뱅킹 거래에 사용되는 보안접속 플러그인은 기본적으로 웹브라우저가 사용하는 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 보안 접속과 다르지 않다고 지적했다. 웹브라우저가 이미 제공하는 것과 유사한 방식의 암호화를 별도의 플러그인으로 하는 것이 특이하다고 설명했다.
연구팀은 또 한국 인터넷뱅킹 보안 방식이 피싱공격에 취약하다는 의견을 냈다. http 접속으로 수행되는 한국 인터넷뱅킹은 웹브라우저가 알려주는 보안 방어책을 전혀 이용할 수 없다고 꼬집었다.
공인인증서의 보안 수준이 실효성이 없을 뿐더러 별도의 안티바이러스 프로그램은 최신 악성 코드를 감지하지 못하고 오류를 일으키는 주범이라고 설명했다. 연구팀은 한국 인터넷뱅킹에 사용되는 플러그인은 정확한 스펙이 공개되지 않아 안전성을 투명하게 검증할 수 없는 구조라고 소개했다.
연구팀은 “인터넷 뱅킹 이용자가 프로그램 설치 여부를 판단할 수 있게 해야 한다”며 “이용자의 SW 선택권을 존중하고 보안 위험에 대한 분명한 설명이 필요하다”고 권고했다. 또 “공인인증서를 웹브라우저나 보안토큰 등 표준 위치에 저장해야 한다”며 “웹브라우저의 SSL/TLS 보안 접속과 공인인증서를 연계해야 보안 수준이 높아진다”고 덧붙였다.
김인순기자 insoon@etnews.co.kr