[인터넷뱅킹, 이대론 안된다]<중> 금감원-한국은행 '보안대책' 엇박자

[인터넷뱅킹, 이대론 안된다] 금감원-한국은행 '보안대책' 엇박자 금감원 "금융사 감독은 고유권한" 한은과 협의 외면…한은선 "결제안전 관여 불가피" 별도 보안표준 추진… 전문가들 "중장기 인프라 구축할 컨트롤 타워 필요" 이병관 기자 comeon@sed.co.kr 최근 금융회사의 전산망을 겨냥한 해킹 공세가 잇따르고 있지만 금융당국은 머리를 맞대고 보안대책을 마련하기는커녕 보안정책을 놓고 갈등을 빚고있다. 금융회사를 감독하는 금융감독원과 지급결제의 안전성을 책임지는 한은은 서로의 주장만 되풀이할 뿐이다. 이에 따라 전자금융 보안 인프라 구축을 위한 로드맵 마련 작업은 뒷전으로 밀리고 있다. 금감원은 “금융회사에 대한 감독은 금감원의 고유 권한”이라며 금융표준을 책임지는 한은과의 협의를 외면하고 있다. 한은은 “지급결제의 안전성과 금융표준을 책임지고 있는 만큼 인터넷뱅킹을 비롯한 전자금융 보안 문제에 관여하는 것은 당연하다”고 반박한다. ◇금감원, “전자금융 보안은 고유권한”=금감원은 “올 1월 시행된 전자금융거래법에 따라 금융전자거래의 안전기준은 금감원이 맡아야 한다”며 “한은이 ‘지급결제의 안전성’이라는 명분을 내세워 부당한 간섭을 하고 있다”고 주장한다. 김인석 금감원 IT감독팀장은 “전자금융거래법에 따르면 한은은 한은과 금융회사간 거래, 금융회사간 지급결제망의 안전성을 책임지게 돼 있다”며 “금융회사가 아닌 최종 소비자의 인터넷 금융 보안까지 개입하는 것은 법리에 맞지 않는다”고 말했다. 금감원은 인터넷뱅킹 보안을 위해 기존의 공인인증서와 보안카드체계에 인증수단을 강화한 소프트웨어적인 보안대책에 치중하고 있다. 이에 따라 금감원은 지난 4월부터 인터넷뱅킹에 ‘일회용 비밀번호 생성기(OTP)’ 사용을 의무화했다. OTP가 이론적으로 완벽한 보안대책은 아니지만 고객 이용의 편의성 등을 감안할 때 대안이 될 수 있다는 게 금감원의 주장이다. ◇한은, “결제 안전 위해 관여는 불가피”=한은 측은 “한은법에 따라 한은이 전반적인 지급결제의 안전성을 도모해야 한다”며 “인터넷뱅킹 보안이 금감원의 전유물인양 취급하는 것은 옳지 않다”고 반박한다. 한은은 “지급결제의 안전성을 위해 업계ㆍ전문가 등과 함께 제반 금융표준을 만드는 권한을 갖고 있다”며 “이 같은 표준제정 과정을 무시하고 금감원이 독단적으로 감독권한을 내세워 사실상의 보안정책을 좌우하는 것은 문제가 있다”고 주장한다. 한은은 “금감원 주도의 소프트웨어적 보안책은 한계에 달했다”며 “보안 강화를 위해 스마트카드(금융IC카드)에 보안 칩을 내장한 하드웨어적 보안책을 시행해야 한다”고 주장한다. 한은은 4월 금융정보화추진분과위원회 은행소위원회(위원장 한은 부총재)를 열고 금융IC카드를 활용한 하드웨어적 보안표준을 추진하기로 시중은행과 합의했다. ◇전자금융 보안 로드맵은 실종=김승주 성균관대 정보통신공학부 교수는 “여러 부처 또는 당국간 권한과 책임이 분산되는 바람에 인터넷뱅킹을 포함해 전자금융에 대한 보안 인프라 구축 작업이 지연 내지 실종되고 있다”며 “이들 보안 인프라를 중장기적으로 세울 수 있는 컨트롤 타워가 필요하다”고 말했다. 금감원은 금융회사에 대한 감독권한을 바탕으로 전자금융 보안을 주도하려는 반면 한은은 지급결제의 안전성 등을 내세워 힘겨루기를 거듭하고 있을 뿐이다. 이에 따라 보다 효율적인 전자금융 보안 인프라 구축작업은 제대로 논의되지도 못하는 실정이다. 이 같은 상황이 이어지는 한 체계적인 전자금융 보안 인프라를 구축하는 작업도 지연될 수밖에 없다.