[ET단상]안전하고 편리한 금융거래

금융거래는 안전성과 편리성의 갈등 구조 속에 있다. 동네 슈퍼에서 생필품 살 때마다 주민등록증과 인감증명을 요구한다면 어떻게 되겠는가? 그렇다고 비밀번호 하나만으로 수십억원의 돈을 빼내갈 수 있다면 어떻게 될 것인가? 안전성과 편리성이 양극단이다.

안전성을 강조할수록 보안 단계는 강화된다. 단순 비밀번호에서 일회성 비밀번호로, 생체인증과 강화된 보안토큰 등으로 레벨업되면서 단일 인증이 아닌 복합 인증을 요구한다. 한국도 이미 공인인증서와 더불어 보안카드 혹은 단문메시지(SMS)를 통한 일회성 비밀번호를 사용하고 있는 것이다. 공인인증서에서도 비밀번호를 요구해 보안단계를 높였다.

반면에 세계 금융기관은 금융거래 측정에 맞춰 보안 레벨을 다르게 적용한다. 간단한 거래에는 심지어 카드 서명도 받지 않는다. 문제가 생기면 업주가 책임진다는 것이다.

한 해외 교포가 한국에 와서 온라인으로 물품을 구매하려 했던 사례가 회자된다. 두 시간 동안 각종 인증서와 보안 모듈을 다운받고 컴퓨터의 운용체계(OS)를 다운 그레이드하고 인터넷 익스플로러 레벨도 낮췄다. 심지어 64비트에서 32비트로 OS를 변경한 다음 포기했다는 것이다. 이렇게 복잡한 절차를 거쳤음에도 불구하고 과연 우리의 금융거래는 안전한 걸까?

보안 이론의 측면에서 보면 대부분의 국가가 통상적으로 사용하는 SSL+OTP 방식은 안전하지 않다. 오히려 피싱과 파밍과 같은 서버인증 부재에 의한 위험도에 무방비하게 노출되어 있을 뿐이다. 미국 연방표준원의 기준에 따르면 한국의 공인인증방식은 보안 레벨1과 레벨2 사이에 있으며 SSL+OTP 방식에 비해서도 보안성이 떨어진다.

그렇다면 편리함의 대명사인 아마존의 ‘원클릭’은 안전하지 않나? 세계 23개 통화에 활용하는 페이팔은 어떻게 운영되는가? 편리성과 안정성을 높이기 위해 수많은 기술적 뒷받침을 하고 있다. 책임도 직접 진다. 사용자에게는 간편하고 사고는 줄이는 것이 이들의 목표다. 마치 백조의 우아한 유영은 수면 아래의 엄청난 노력이 뒷받침되듯 기술개발의 노력이 지속적으로 이뤄진다.

카드사의 새로운 보안체계는 사용자 형태분석(FDS) 보안이다. 사용자에게는 편리성을 제공하고 안전성을 보장하는 빅데이터 기반의 금융보안 기법이다. 평소 형태와 다른 거래가 이뤄지면 금융기관에서 사용자에게 통보가 온다. 최근에 있었던 자동이체 대규모 인출사건에서도 핵심이 된 것은 SMS였다. 평소와 다른 행태의 지출이 확인되면 이를 통보하고 때에 따라 보류하는 것이 첨단 기법인 것이다.

문제는 안전하고 편리한 방어기법일수록 개발자가 고객의 금융거래 형태들을 낱낱이 분석해 갖고 있게 된다. 고객의 정보가 금융기관에 빅데이터로 쌓이면 쌓일수록 안전하고 편리한 금융거래는 가능하다. 그러나 이 자료와 개인정보가 빠져나가게 되면 편리한 칼은 흉기가 돼 돌아온다.

지능형 보안과 철저한 내부 서버 보안 제도가 새로운 보안기술의 방향이다. 이 기술에서는 어떤 거래 형태를 이상 형태로 지목하게 되면 상대에게 나의 약점을 노출시키게 된다. 마치 각종 검색 사이트들이 자신의 최종적인 검색 알고리즘을 밝히지 않는 이유와도 같다. 정부당국의 보안 기술의 규제는 해커에게 일방적으로 유리한 게임으로 귀결된다.

자율과 경쟁이 문제를 해결하고 통제와 보호는 문제를 악화시킬 뿐이다. 한국 금융기관들에 자율을 주고 책임을 묻자. 정부가 통제하고 보호하는 시대는 이미 끝났다. 정부가 통제한다면 금융 사고의 책임은 정부가 져야 한다는 것이 법리적인 귀결이다.

다시 한번 기술의 중립성을 강조하고 정부의 규제를 배제하는 세계 금융협약인 바젤 협약을 상기하자. 다양한 금융 거래에 다양한 방법이 존재해야 한다. 슈퍼에서 물건을 사는 것과 대규모 부동산 거래 방식이 같을 수는 없다. 결국 금융방식의 선택은 시장의 영역인 것이다.

이민화 KAIST 초빙교수 mhleesr@gmail.com