[프라임경제] 은행권의 인터넷뱅킹은 이제 되돌릴 수 없는 대세다. 금융감독원 자료에 따르면, 국내 인터넷뱅킹 가입자는 지난해 말 현재 7300만명(중복 포함)으로 전국민이 모두 한두개씩은 인터넷뱅킹에 가입, 접촉하고 있는 셈이나 마찬가지 규모다. 특히, 이 재작년보다 약 900만명 늘어난 것으로 앞으로도 성장세가 상당할 것임을 방증하는 것으로 읽힌다. 지난해 은행의 전자금융 거래건수는 전체의 80%를 차지했고, 거래금액은 1경7000조원에 달한다.

사정은 이렇지만 ‘그림자’에 대한 우려도 높다. 대표적인 문제는 피싱이 기승을 부리는 현실이다. 한국인터넷진흥원(KISA)에 따르면 금년도 1분기에 적발한 피싱사이트만 1200개를 넘는다. 2010년까지 매년 한 자릿수에 불과하던 피싱사이트 단속 건수는 지난해부터 천 단위를 헤아린다. 

특히 엑티브 엑스 중심의 인터넷 환경에 안주해 오던 은행권이 엑티브 엑스를 걷어내고 여러 사용자환경에 열린 인터넷뱅킹 시대를 준비할 조짐이다. 또 소셜네트워킹서비스(SNS)를 통해 고객들이 각종 금융서비스를 이용하는 소셜뱅킹 시대가 성큼 다가오고 있다고 17일(현지시간) 블룸버그통신이 보도하는 등 발전 속도 역시 예상을 초월하고 있는 상황이다. 보안에 대한 우려와 늘 전쟁을 치르게 있는 상황인데, 오늘도 관련 노력이 은행권 주변에서 활발히 모색되고 있다. 

◆금감원 특별점검, 은행들은 자체 그물망 강화

일단 감독기구인 금감원은 금융회사의 고객정보 보호실태에 대한 특별점검을 실시한다. 권혁세 금감원장은 이미 '금융정보 보호 세미나'에서 "7~9월 중 외부 정보기술(IT) 보안전문가를 투입해 15개 금융회사를 대상으로 테마검사를 할 예정"이라고 밝혔다. 검사대상은 은행 뿐만 아니라(은행 4곳), 증권사 4곳·보험사 4곳·여신전문금융회사 3곳 등 금융 전반을 아우른다.

구체적인 점검내용은 △고객정보 유출방지 대책 △고객정보 관리의 적정성 △해킹 대응능력 △개인정보 수집 이용 제공 위탁의 적정성 등이다. 권 원장은 "최근 스마트폰 전자금융 거래가 늘면서 관련 해킹 위험도 커지고 있다"고 전제하고 "금융회사의 기술적 대응을 적극적으로 지도하겠다"고 말했다. 

엑티브 엑스 중심의 시스템에서 변화를 타진한다고 해서 보안이 일거에 약화되는 것은 아니다. 과거부터 IT전문가들은 '엑티브 엑스 + 공인인증서'가 안전성을 추구하는 검증된 방법인 것은 사실이지만 난공불락의 철벽은 아니므로 굳이 이 방식을 고집할 것은 아니라고 주장해 왔다.

이에 따라 은행별로 아이디어를 속속 접목하고 있다.

우리은행이 사전에 등록된 PC에서만 이체작업을 할 수 있는 '이용 PC지정' 서비스를 하는 것이 좋은 예다. KB국민은행과 외환은행은 로그인할 때 피싱사이트와 구분할 수 있도록 고객이 직접 선택한 이미지와 문자가 표시되도록 하는 '피싱방지 개인화 이미지' 서비스를 제공한다. 또 신한은행 등은 문자와 숫자 조합의 이체비밀번호를 추가로 지정하도록 한다는 방침이다.

◆HW 중심 보안 철통 강화 아이디어도 현실화

현재까지 대표적인 보안방식으로 사랑받고 있는 OTP와 보안용 코드카드. 하지만 소셜뱅킹 등 금융의 발전이 예고되고 있고 엑티브 엑스+공인인증서 중심의 방어벽에 안주할 수 없는 상황이 되면서 한층 강화된 아이디어들이 등장하고 있다.

한편, 현재 은행들이 주로 사용하는 스프트웨어 중심의 보안에서 하드웨어 중심 보안으로 이행하자는 구상도 등장해 눈길을 끌고 있다.

현재까지 대표적인 보안방식으로 사랑받고 있는 OTP와 보안용 코드카드. 하지만 소셜뱅킹 등 금융의 발전이 예고되고 있고 엑티브 엑스+공인인증서 중심의 방어벽에 안주할 수 없는 상황이 되면서 한층 강화된 아이디어들이 등장하고 있다.

인터넷 유관 업체 토러스네트웍스가 지난 3월 '인터넷뱅킹의 미래와 전략' 세미나에서 집적회로(IC) 칩이나 유심 칩을 외부 HW에서 인식해 전자금융거래를 진행하는 '스마트웨이' 솔루션을 발표한 바 있다.

사실 지금까지의 금융 해킹 피해 사례를 보면, 해커들이 은행 등의 서버를 직접 공격하는 게 아니라 각 PC나 스마트폰 등에 접속해서 해킹을 하는 것이 일반적임을 알 수 있다. PC에서 진행되는 작업은 모두 CPU에 남기 때문에 해커들이 일단 CPU에 접속하면 계좌번호와 금액을 바꿔치기해 빼돌릴 수 있다. 현재 유행하는 피싱 같은 경우도 어떻게든 정보를 빼내거나 개인의 착오로 자금을 이체하게 하는 등의 전략을 쓰고 있다. 이렇게 정보를 활용해 개별 스마트폰이나 PC을 비집고 들어가 공략하는 일명 메모리 해킹은 고객의 부주의 등으로 언제든 보안망을 무력화할 수 있는 여지를 악용하는 것이다.

하지만 IC카드나 유심칩에 기반을 둔 스마트웨이는 별도의 외장 기기인 IC카드 단말기나 키보드, 마우스에 스마트웨이 기능을 융합시켜 금융정보 인식과 입력을 외부에서 이뤄지도록 하는 방식이다. 여기서 처리된 암호화 된 정보만이 금융사 정보망으로 전달되기 때문에 메모리 해킹은 물론 공인인증서 분실과 도용에서도 벗어날 수 있다고 하겠다.

이와 같이 인터넷뱅킹이 스마트폰의 발전으로 나날이 발전하고 있는 가운데, 보안 요구가 고도화되는 속도에 발맞추기 위한 노력이 쏟아지고 있는 점은 흥미롭다. 인터넷뱅킹이 스마트금융으로 또 이제 곧 머지않은 미래에 소셜뱅킹의 시대가 본격적으로 열릴 것이기 때문에, 보안의 숙제는 끊임없이 쏟아질 것이며 이를 게을리하는 순간 은행권은 큰 홍역을 치를 수밖에 없으므로 부단한 노력이 예상되고 있다.