[ET톡] 변화 필요한 금융 보안

[ET톡] 변화 필요한 금융 보안

독일의 유명 개발자 블라디미르 팔란트가 우리나라 금용 보안 시스템의 효율성과 안정성을 비판했다. 그는 세계에서 사용자가 가장 많은 광고차단 프로그램 '애드블록 플러스'를 만든 주인공이다.

팔란트는 최근 자신의 블로그에 '막다른 골목에 다다른 한국의 온라인 보안'이라는 글을 게시헸다. 팔란트는 한국 은행의 인터넷뱅킹을 콕 집어서 “이용하는 데 상당한 어려움이 따르고 서비스를 이용하려면 보안 프로그램을 5~6개 설치해야 한다”고 밝혔다. 그는 이로 말이암은 속도 저하, 타 은행 이용 시 중복 설치 등 문제점도 열거했다.

팔란트는 또 “보안 솔루션이 최신 보안 기술보다 수십 년 뒤처지는 경우가 많고 보안 위협을 제거할 수 있는 최신 컴파일러를 쓰지 않는다”면서 “최신 인터넷 브라우저에서는 지원하는 기능을 설치하게 하는 경우도 있다”고 혹평했다.

솔루션에만 의존하는 보안의 부작용에 대해서도 언급했다. 설치 솔루션이 증가할수록 취약점에 노출될 가능성 또한 높아진다는 게 골자다.

팔란트는 자신의 주장을 입증하기 위해 키보드 보안 솔루션 'TouchEn nxKey'의 취약점을 분석해 게시하고 지난해 10월 이 취약점을 한국인터넷진흥원에 제보했다고도 밝혔다. 해당 솔루션 제조사도 취약점을 인정했다.

팔란트는 여기서 그치지 않았다. 추가로, 2주마다 자기가 운영하는 블로그에 총 4개 보안 프로그램의 취약점을 공개하겠다고 공언했다.

우리나라의 인터넷 뱅킹 안정성에 대한 우려는 오래전부터 제기돼 왔다. 다양한 솔루션이 해킹을 어렵게 한 것이 사실이지만 솔루션이 너무 많이 설치되면서 공격 표면이 늘어난 것 또한 부인할 수 없다.

책임을 보안 솔루션 제조사에게만 돌릴 수 있을까. 금융 당국, 기업도 이 상황에서 벗어날 수 없다. 이들은 보안 솔루션 일변도 정책과 대응을 되풀이하고 있다. 해킹 사고가 발생하면 책임을 보안 솔루션 제조사에 전가할 가능성이 큰 구조다.

변화가 시급하다. 하루에 수십만건의 침해 시도가 이뤄지는 세상에서 특정 솔루션에만 의존하는 것은 무책임하고 위험하다. 사이버 위협 탐지, 대응을 위한 관제 시스템을 확보하고 버그바운티 등 취약점 파악을 위한 투자를 강화해야 한다.

한 보안 전문가는 “보안 관제를 통해 위협을 분석하고 대응할 수 있는 자체 역량을 갖춘 시중 은행이 많지 않아 보인다”며 “은행이 주도적으로 보안 정책을 펼치고 투자에 나서도록 제도 등 모든 측면에서 혁신이 필요하다”고 지적했다.

최호기자 snoop@etnews.com