지난 2월 초 도곡동 KAIST 회의실에서 열린 청년창업포럼. 참석자 대부분은 IT업계에 내로라하는 주요 인사들이었다. 이들은 최근 카드사 개인정보유출로 불거진 금융 보안 문제에 대해 한 목소리를 냈다. 한국의 ‘사후약방문’ 식의 기술적 규제에 대해 일갈한 것이다. 고영하 한국엔젤투자협회장은 “우리나라는 금융기관이 모든 것을 규제하다보니 혁신이 일어나기 어렵다”며 “창조경제를 가로막는 큰 걸림돌”이라고 지적했다. 임정욱 스타트업얼라이언스 대표는 “미국에서는 노년층도 온라인 쇼핑을 하는데 전혀 어려움이 없다”며 “한국에서는 온라인 결제를 할 때 액티브X 등 복잡한 방식 때문에 번거롭다”고 규제를 통한 온라인 무역역조에 대해 꼬집었다. 이민화 KAIST 교수는 “정부에서 한 가지 제도를 지정하지 말고 다양한 보안기술을 인정한 뒤 금융기관이 선택하고 책임을 지도록 해야 한다”며 “임시방편적 대안 말고 근원적인 처방이 필요한 시기”라고 말했다.
대한민국 금융정책이 역행하고 있다. 사상 초유의 카드사 개인정보 유출로 야기된 금융 보안 정책이 도마 위에 올랐지만 금융위원회·금융감독원·금융결제원 등 금융당국은 이렇다 할 근본 대책 없이 징벌 배상과 같은 근시안적 정책에 몰두하고 있다. 한치 앞을 내다보지 못하는 ‘언 발에 오줌 누기’ 식 금융정책으로 산업과 시장은 갈팡질팡 중심을 잡지 못하고 있다. 무엇보다 최대 소비자인 국민은 확실한 금융정책이라는 공언에도 여전히 불안해 하고 있다.
◇2011년부터 반복된 ‘악몽’
지난 1월 8일 롯데카드, KB국민카드, NH농협카드 3사에서 약 1억580만명의 개인정보가 유출됐다. 주민등록번호, 전화번호, 주소 등 개인 식별번호와 결제계좌까지 노출되면서 피해는 엄청난 상황이다. 문제는 처음 있는 일이 아니라는 점이다. 지난 2011년 현대캐피탈에서 175만건의 개인정보가 유출되면서 큰 파문이 일었던 사건을 비롯해 4개월 뒤 하나SK카드에서 약 5만건, 이어 삼성카드에서 47만건 등 주요 금융사에서 끊임없이 개인정보가 유출되고 있다. 지난해 역시 한화손해보험과 메리츠화재에서 16만건이 해킹으로 인해 유출됐다. 내부 직원의 소행이든 해커의 짓이든 피해가 막심한 것은 동일하다.
이렇듯 매번 반복되고 있지만 문제가 개선되지 않는 이유는 무엇일까. 금융 기관이 IT 조직에 예산을 더 할당해야 한다거나 백업전용센터를 구축해야 한다는 것은 근본적인 해결 방안이 아니다. 본질적인 개선이 이뤄지려면 한국의 인터넷 환경을 바꿔야 한다. 전자금융이 일어나는 ‘토양’을 바꿔야 뿌리가 튼튼한 나무가 자랄 수 있다. 아무리 질 높은 영양제를 맞아도 근본적인 개선이 이뤄지지 않으면 금방 죽고 만다.
◇악성코드 최적의 숙주, 한국 인터넷 환경
한국 인터넷 환경의 치명적인 문제는 액티브X 같은 플러그인(Plug-in) 방식의 공인인증제도다. 보안레벨이 높은 운용체계(OS)를 사용해도 공인인증서를 사용하려면 보안 레벨을 낮추고 브라우저도 다운그레이드 해야 한다. 결과적으로 악성코드가 침투하기 쉬운 환경이 된 것이다. 애플이 자사 제품에 플러그인 설치를 없애려는 논의를 시작하고 마이크로소프트가 윈도8에서 액티브X를 지원하지 않고 있는 것과 대조적인 상황이다.
뿐만 아니라 서버 인증을 제대로 하지 않는 제도도 문제다. 가짜 사이트로 유도하는 피싱, 파밍 등은 서버 인증을 하지 않는 한국 제도 허점을 해커들이 악용한 것이다. 공인인증서 때문에 세계 표준인 SSL이라는 통신 암호화를 하지 않는 한국 인터넷 환경이 개인정보를 쉽게 빼낼 수 있게 만들었다.
◇알면서도 외면하는 금융감독원
지난 2010년 기업호민관실은 ‘공인인증서 해소 운동’을 통해 금융기관에 인증방법 선택권을 부여하겠다고 발표했다. 당시 가이드라인은 이용자 인증, 서버 인증, 암호화 등 5가지 요건을 충족하면 인증방법평가위원회의 평가를 받아 금융거래를 할 수 있도록 한다는 것이 골자였다.
근본적인 문제는 당시 금융감독원 산하에 설치된 인증방법평가위원회가 지난 4년간 유명무실했다는 점이다. 30만원 이하 거래에 한해 2개 공인인증서 비사용 거래 방법 인증 외에는 이렇다 할 정책을 내놓지 못했다. 규제 기관인 금감원 산하에 진흥 조직이 생긴다는 것 자체가 어불성설이라는 지적이다. 실제로 개인정보유출 사건이 터질 때마다 평가위원회에서 다양한 인증방법을 검토하고 있다고 밝혔지만 이렇다 할 변화는 없다.
당시 기업호민관이었던 이민화 교수는 “애플스토어같은 외국기업 뿐 아니라 영문으로 된 대한항공 홈페이지도 공인인증서 없이 100만원 이상 거래가 가능하다”며 “명확한 기준도 규제도 없는 대응이 무슨 의미가 있는지 궁금하다”고 토로했다. 그러면서 “소나기가 오면 피하고 보자는 식의 행태 때문에 실질적인 규제 개선이 미뤄지고 있다”며 “평가위원회를 독립적인 기구로 분리해야 한다”고 주장했다.
박근혜 대통령 공약집에는 ‘글로벌 표준에 맞는 다양한 공인인증서비스 허용’이 명시되어 있다. 전자 금융에 대한 국제 기준인 ‘바젤 협약’에 따르면 ‘국가는 특정 기술을 강요하지 않고 금융 기관에 반드시 선택권을 주어야 한다’고 되어 있다. 금융감독원이 공인인증서 방식 하나만을 강요하는 우리나라와 대조적인 셈이다. 한국의 금융보안 정책은 아직도 역행하고 있다.
[표] 지난해 발표된 금융전산 보안 강화 종합대책 개요
※ 금융 당국과 업체의 노력을 요구하는 지엽적인 정책일 뿐 한국 온라인 환경에 대한 근본적인 해결 방안은 없음.
허정윤기자 jyhur@etnews.com