[이슈분석]인터넷 뱅킹 보안 금융사 자율 시대..어떻게 바뀌나

“계좌이체 등 전자금융거래 시 공인인증서 사용 의무가 폐지된다. 특정기술 사용을 강제하는 금융업법상 의무 규정은 일괄 폐지하고 개선한다.”

금융당국은 지난 1월 말 금융서비스에 대한 사전 관리체계를 없애고 금융회사 스스로 기술 자율성을 높여 자체적으로 보안 수준을 높이는 방향으로 정책을 바꿨다. 공인인증서 사용 의무를 폐지하는 대신 금융회사에 선택권을 부여했다. 새로운 인증 및 보안기법 도입을 유도하려는 조치다. 금융당국은 “금융회사가 자유롭게 정보기술(IT)을 적용하고 새로운 금융서비스를 창출할 수 있는 환경을 만드는 데 집중하겠다”고 밝혔다.

◇당장 큰 변화 없다

금융회사는 전자금융거래에 공인인증서를 비롯해 키보드 보안, 방화벽 등 보안 3종 세트를 꼭 쓰지 않아도 되는 시대를 맞았다. 그렇다고 매번 인터넷 뱅킹 때마다 사용자를 괴롭히던 보안 솔루션이 완전히 사라지는 건 아니다. 당장 10여 년을 써온 보안 프로그램을 교체하려면 비용은 물론이고 안전성을 담보하는 제품이 없는 탓이다.

금융회사 대부분은 ‘현재 상태를 유지하면서 경쟁 회사 움직임을 예의주시하겠다’는 식의 보수적 태도를 취하고 있다. 지난해 전자상거래에서 30만원 이상의 금액을 결제할 때도 공인인증서를 요구하지 않도록 제도를 개선했지만 당국의 의지와는 달리 지금도 사용되는 것과 같은 맥락이다.

대부분 금융회사는 보안3종 세트 폐지를 국내 인터넷 뱅킹 인프라 체계를 다시 기획하는 대형 프로젝트로 여기고 있다. 한 시중은행 정보보호최고책임자(CISO)는 “인터넷뱅킹에서 기존 보안 시스템을 빼고 새로운 프로그램을 안정화하는 데 최소 6개월 이상 걸린다”며 “종전의 액티브X 방식을 범용실행파일(exe) 형태로 바꾸는 데만도 시험해야 할 PC 환경이 20여 가지에 이른다”고 말했다. 그는 “우선 다양한 브라우저와 운용체계(OS)에서 쓸 수 있는 범용실행파일 인프라로 전환하는 데 집중하고 있다”며 “보안3종 세트를 쓰지 않고 인터넷뱅킹 인프라를 강화하는 계획은 단기에 실행할 수 있는 사안이 아니다”고 덧붙였다.

금융회사들은 급변하는 전자금융 환경을 뒷받침할 마땅한 보안 솔루션이 없다고 입을 모은다. 당장 액티브X를 쓰지 않는 전자서명과 보안메일 등을 비롯해 방화벽, 키보드 보안, 백신 등을 하나로 묶은 패키지 제품도 없다. 안랩, 이니텍, 소프트포럼, 잉카인터넷, 예티소프트 등이 올 하반기 출시를 목표로 제품 개발에 들어갔다. 아직 제품이 개발 중인 데다 향후 인터넷뱅킹에 적용하려면 상당한 시일이 걸린다.

김종현 국민은행 CISO는 최근 열린 정보보호 대토론회에서 “당장 보안 솔루션을 도입하려고 해도 마땅한 솔루션이 없다”며 “보안 회사도 금융회사 등 고객을 고려한 제품을 개발해야 할 때”라고 말했다.

◇새로운 인증과 보안이 강조될 전망

금융회사는 보안프로그램 의무 사용 폐지에 따라 새로운 인증수단 도입에 관심을 보이고 있다. 사용이 편리하면서도 보안성이 높은 인증수단을 찾고 있다.

금융회사는 우선 과도기적 단계에서 이상금융거래탐지시스템(FDS)을 안정화해 급증하는 전자금융거래 사고에 대비할 계획이다.

시중은행은 지난해부터 FDS 도입을 확대했지만 데이터베이스(DB) 축적과 운용 기법이 부족해 적지 않은 어려움을 겪고 있다. 농협·신한·우리·외환은행이 FDS 가동에 들어갔으며 국민·기업은행 등이 올해 안에 본격적으로 시행한다.

손병환 농협은행 스마트금융부장은 “운용 초기여서 아직 DB가 부족해 일부 오류가 있다”며 “DB가 축적되면서 시스템이 안정될 것”으로 내다봤다.

한 금융보안전문가는 “미국 등 선진국처럼 FDS가 고도화하려면 1년 이상 노하우가 축적돼야 한다”며 “별도 하드웨어나 생체인증 수단을 고려하며 FDS 안정화를 꾀하고 있다”고 설명했다.

또 다른 방안은 해외처럼 기술이 아닌 인터넷 뱅킹 절차를 바꾸는 방법이다. 미국 등 선진국 인터넷 뱅킹은 보안기술이 아니라 거래절차를 복잡화해 금융사고를 예방한다. 실시간 자행 및 타행이체가 가능한 국내와 달리 1~2주 전에 미리 지정한 계좌로만 자금을 이체하는 방식이다.

김종현 우리금융경영연구소 전략연구실 연구위원은 “해외 금융회사는 보안사고 위험을 최소화하기 위해 거래 절차와 기술적 환경 측면에서 여러 가지 제약을 둔다”며 “국내 금융회사는 보안성과 고객 이용 편의성을 동시에 감안해 제약 조건과 강화된 인증 수단을 도입하는 내용의 투자를 확대할 필요가 있다”고 말했다.

김인순기자 insoon@etnews.com