|
악성코드 감염 없이도 ATM서 손쉽게 돈빼내
모바일뱅킹은 더 취약
비금융사와 협업 많아 사고때 책임 명확히 하고
개인정보 토큰화 기술 등 새 보안시스템 서둘러야
애플이 지난달 20일 야심 차게 내놓은 모바일 결제 서비스인 '애플페이'는 출시 후 시장의 찬사를 받았다. 근거리무선통신(NFC) 기반에 지문 인식으로 결제가 완료되는 간편 서비스로 애플이 모바일 결제 사업의 판도를 바꿀 것이라는 전망도 잇따랐다.
하지만 우려의 목소리가 나오는 데는 채 이틀이 걸리지 않았다. 애플페이 이용자 중 뱅크오브아메리카 계좌를 가진 고객들 사이에서 1,000여건이 중복 결제된 것. 뱅크오브아메리카 측이 즉각 중복 결제된 금액을 고객들에게 환불해주겠다고 밝혔지만 위조지문을 통해 애플페이를 이용했을지 모른다는 등의 우려는 여전하다.
애플페이의 사례는 정보기술(IT) 업체와 금융 사업자들이 손을 잡고 내놓는 '컨버전스(융합형) 금융' 서비스가 언제든 사고에 노출될 수 있음을 보여준다. 서비스 안정화와 보안 문제를 극복하지 못한다면 '은행 없는 은행'의 근간이 언제든 송두리째 흔들릴 수 있다는 우려가 나오는 이유다.
◇신금융의 가장 큰 적은 해킹=금융사업자를 위협하는 해킹 방법은 갈수록 진화하고 있다. 지난달 네덜란드 암스테르담에서 열린 '블랙햇유럽(Black Hat Europe)' 컨퍼런스에 러시아 연구원 2명은 악성코드 감염 없이도 현금자동입출금기(ATM)에서 돈을 빼낼 수 있음을 시연, 업계를 긴장시켰다. 이들 연구원 2명은 '라즈베리피(Rasberry Pi)'라는 신용카드 크기의 컴퓨터를 ATM에 연결, 비밀번호를 가로챈 뒤 현금을 인출했다. 비센티 디아즈 카스퍼스키랩 수석 보안 연구원은 "이런 방법은 기존의 소프트웨어 보호로는 막을 수 없는 완전히 다른 레벨의 위협"이라고 경고했다.
스마트폰의 보안 취약점도 여전히 문제다. 안랩에 따르면 안드로이드 기반 스마트폰 사용자를 노린 악성코드는 올 초부터 지난 9월 말까지 총 107만9,551개가 발견, 지난해 같은 기간에 비해 17%가량 증가했다.
신규 뱅킹 서비스가 대부분 스마트폰 기반으로 출시되는 상황에서 언제든 보안 문제가 불거질 수 있는 이유다. 5월에는 스마트폰 개인정보를 해킹, 다른 스마트폰에서 모바일 앱카드를 개설하고 결제를 하는 신종 금융 사고가 발생하기도 했다.
손장군 엔시큐어 이사는 "스마트폰의 경우 다양한 보안 솔루션이 이미 나온 PC에 비해 새로운 공격 방식에 취약할 수밖에 없다"며 "큰 보안 사고가 터질 경우 언제든 신규 금융산업의 성장세가 위축될 수 있는 상황"이라고 밝혔다.
최근 금융계에서 자주 이야기되는 인터넷 전문 은행 또한 금산분리와 금융실명제라는 장벽 외에 이용자들의 불안이라는 벽을 넘지 못하면 정착이 힘들 것으로 전망된다. 실제 신제윤 금융위원장이 4일 "인터넷 전문 은행 설립을 검토해야 할 때"라고 밝힌 뒤 인터넷 댓글과 소셜네트워크서비스(SNS) 등에서는 해킹에 대한 우려의 목소리가 적잖았다. 모바일 보안에 대한 경고가 잇따르는 상황에서 11일 출시된 모바일 전자지갑 서비스인 '뱅크월렛카카오'가 해킹당할 경우 '금융 참사'까지 예상되는 상황이다.
◇사고 발생시 책임 소재 명확히 해야=최근 금융시장에 비금융사업자들이 기존 금융사업자들과 합작 서비스를 내놓는 경우가 잇따르면서 금융 사고 발생시 책임소재 문제를 명확히 하는 것 또한 주요 과제다. 뱅크월렛카카오는 결제를 진행하는 부분은 기존 은행이, 이체 및 결제 결과를 메시지로 전송하는 것은 다음카카오가 담당한다. 다만 카카오톡의 소셜 기능과 기존 금융사업자의 금융망을 동시에 공략하는 새로운 해킹 기술이 등장할 경우 책임 소재 문제가 충분히 불거질 수 있다. 이기송 KB금융연구소 선임연구원은 "결국 보안 강화와 금융 서비스 편의성 부분은 서로 충돌하는 부분이 있기 때문에 이에 대한 고민이 필요하다"며 "특히 금융사고 발생시 은행·당국·IT 사업자 간 책임소재를 명확히 하는 등의 장치가 필요하다"고 밝혔다.
◇IT금융 진화할수록 개인정보 보호 장벽 더 쌓아야…=은행 없는 은행이 제대로 구현되기 위해서는 개인정보 보호가 중요하지만 국내뿐 아니라 해외에서도 개인정보 해킹 사례가 잇따르고 있다. 미국의 대형 슈퍼마켓인 앨버슨과 슈퍼밸류는 지난달 고객들의 카드정보가 해킹당해 총 1,081곳의 매장에서 고객정보가 유출됐다. 유출된 정보는 카드 소유자의 이름, 유효기간, 결제 계좌번호 등이며 피해자만 수백만명일 것으로 추산된다. 일본항공 또한 9월 해킹을 당해 19만명의 회원번호·등록일자·이름·생일·성별·연락처·e메일·주소 등이 유출됐다. 국내에서는 지난해 말 유출된 1억여건의 개인정보가 대출 중개업자나 보이스피싱 조직에 넘어간 것으로 알려져 추가 피해가 꾸준히 상황이다.
이 때문에 새로운 보안시스템 도입 등으로 은행 없는 은행 시대에 대처해야 한다는 목소리가 나온다. 실제 미국 등에서는 민감한 정보를 아무 의미 없는 번호로 치환해 관리하는 '토큰화(Tokenization)' 기술이 대안으로 떠오르고 있다. 토큰화된 정보는 결제시스템을 제공하는 신용카드 회사만이 해독 가능하다. 토큰화 기술은 이미 애플페이에도 적용돼 있으며 미국 최대 전자상거래 업체인 아마존이 도입을 고려하고 있다. 지문이나 동공을 이용한 '바이오 인증' 또한 대안으로 거론되지만 신체 정보의 특성상 한 번 유출되면 바꾸기가 거의 불가능하다는 점에서 아직 신중함이 요구된다. 보안에 관심이 많은 이들을 활용, 보안 취약점을 강화하는 방식도 대안 중 하나다. 페이팔의 경우 '원격 코드 실행'과 관련된 취약점을 찾아낸 고객에게 최대 1만달러를 지급하는 등 고객을 통해 보안을 강화하고 있다.
임종인 고려대 정보보호대학원장은 "보안 문제를 기술적으로만 해결하기에는 한계가 분명하다"며 "각 금융사 정보보호 전담기구에서도 직원들의 전문성 제고 등을 위해 애써야 한다"고 강조했다.