가장 큰 역할은 해킹 사고 발생 시 금융사 '면책'…소비자만 불편
금융사가 자체 서버 보안 강화하는 글로벌 스탠더드로 가야
은행·증권사 어플리케이션이나 홈페이지 방문 시 통과의례가 있다. 통합 설치·관리(Veraport), 공동인증서 보안(AnySign), 개인PC방화벽(ASTx), 키보드 보안(TouchEn nxKey) 등 보안 프로그램 설치다.
보안 프로그램을 깔지 않으면 금융거래를 할 수 없으니 귀찮더라도 설치해야 한다. 그렇게 다 설치했는데도 아직 안 깔린 보안 프로그램이 있다며 '경고'가 뜨면 귀찮음을 넘어 짜증까지 유발한다. 이처럼 소비자들을 귀찮게 하는 금융 보안 프로그램들이 실제로 효과가 있는지도 의문이다.
카이스트(KAIST) 전기·전자공학부 김용대·윤인수 교수, 고려대 정보보호대학원 김승주 교수, 성균관대 김형식 교수 등이 공동으로 진행한 연구 결과에 따르면 국내 공공·금융기관에서 사용하는 '주요 보안 프로그램(KSA)' 7종에서 총 19건의 심각한 보안 취약점이 확인됐다. 키보드 내용을 암호화해 웹사이트에 전달하던 중 해커가 사용자의 키보드 입력을 훔쳐볼 수 있는 약점, 공인인증서 사용 중 개인정보가 암호화되지 않은 상태로 노출될 수 있는 약점 등이다.
이런 취약점 탓에 소비자들이 시키는 대로 착실하게 금융 보안 프로그램을 설치하고 있음에도 불구하고 SK텔레콤, 쿠팡, 신한카드 등 해킹 사고가 끊이지 않는다. 무엇보다 괜한 짓을 해 오히려 해커의 공격 통로를 만들어줄 위험이 있다고 연구진은 지적했다.
 |
| ▲ 한국형 금융 보안 프로그램은들은 오히려 해커가 공격하기 쉬운 통로를 만들어줄 수 있다고 우려된다. [게티이미지뱅크] |
마이크로소프트(MS) 엣지, 구글 크롬 등 세계적인 웹브라우저들은 자체적으로 탄탄한 방화벽을 갖추고 있다. 그런데 금융 보안프로그램들은 이 방화벽에 작은 구멍을 뚫어 소비자의 개인용컴퓨터(PC) 드라이브나 USB에 설치된 인증서에 접근하는 구조다.
한 보안업체 실무자는 "이미 탄탄한 자물쇠가 달린 금고 문에 굳이 작은 구멍을 뚫고는 다시 작은 자물쇠를 새롭게 다는 꼴"이라며 "해커 입장에서는 작은 자물쇠 쪽이 더 공략하기 쉬우므로 여기에 집중할 수 있다"고 지적했다.
김승주 고려대 정보보호대학원 교수는 이런 점을 지목하면서 "인터넷을 통해 보안 프로그램을 따로 다운로드받지 않는 게 글로벌 스탠더드"라고 강조했다. 한국에서만 효과도 의심스러운 독특한 방식을 쓰면서 소비자들을 힘들게 하고 있는 셈이다.
김용대 카이스트 교수도 "비표준 보안 프로그램을 강제로 설치하도록 하는 방식이 아니라 웹 표준과 브라우저 보안 모델을 따르는 방향이 돼야 한다"고 말했다.
그간 금융 보안 프로그램들의 가장 큰 역할은 소비자 보호가 아닌, 금융사 보호였다. 해킹 사고가 발생했을 때 "이런저런 보안 프로그램들을 만들어 설치시키는 등 최선을 다했다"고 주장하게 해주는, 금융사 책임을 면해주는 용도로 쓰인 것이다.
정부는 고질적인 '한국형 보안 갈라파고스 환경'에서 벗어나기 위해 범부처 정보보호 종합대책을 세웠다. 금융 보안 프로그램 의무 설치 개수를 차차 줄여나갈 방침이다. 최근 금융사들에게 연말까지 모든 금융 보안 프로그램을 없애라고 지시해 금융사들이 발칵 뒤집혔다는 소식도 있다.
몇십 년 동안 이어진 관행을 갑자기 바꾸는 게 쉬운 일은 아니다. 또 금융 보안 프로그램 없이 해킹을 막기 위해 금융사 서버 자체 보안을 강화해야 하며 인공지능(AI) 기반 이상금융거래탐지시스템(FDS)도 필요하다. 상당한 비용이 들 것이다.
그간 금융 보안 프로그램을 들먹이며 책임을 면해 왔는데 앞으로 발생하는 금융사고에 대해 전면적인 책임을 져야 하는 건 더 두려운 일이다. 한 시중은행 보안 실무자는 "자칫 사고 한 번 터질 때마다 수백억 원씩 배상해야 할 수도 있다"고 우려했다.
그러나 언제까지 소비자들을 힘들게 하면서 정작 해킹 방지 효과에는 의문이 가는, 금융사 면책이 주된 역할인 금융 보안 프로그램을 고집할 순 없다. 이제 '면책용' 금융 보안 프로그램들은 사라질 때가 됐다. 금융사들이 괴롭더라도 그게 올바른 방향이고 글로벌 스탠더드다.
 |
| ▲ 안재성 경제 에디터. |
KPI뉴스 / 안재성 기자 seilen78@kpinews.kr
[ⓒ KPI뉴스. 무단전재-재배포 금지]
