[인터넷뱅킹, 이대론 안된다]<상> 응급대책만 남발…"대란 발생우려"

세계 최고 수준을 자랑하는 인터넷뱅킹이 뿌리째 위협받고 있다. 국내 인터넷뱅킹은 하루 거래 규모가 20조원 내외로 전자금융거래의 80%를 차지하고 지난해에만 40%(건수 기준)가 늘어날 정도로 초고속 성장을 거듭하고 있다. 하지만 보안 체계는 허술하다. 현재 상황이라면 해커의 대규모 공세가 일어나면 전자금융 대란이 빚어질 수 있다는 게 전문가들의 평가다. 하지만 금융감독당국은 땜질식 처방으로 일관하고 있다. 한국은행과 금융감독원은 힘을 합쳐 튼실한 인터넷 보안 시스템을 정비하기보다는 정책을 놓고 갈등을 빚고 있다. 인터넷뱅킹 보안에 대한 우려가 사라지지 않으면 ‘금융강국 건설’도 구호에 그칠 수밖에 없다. 인터넷뱅킹 보안의 문제점과 대안을 기획 연재 기사를 통해 짚어본다. 인터넷뱅킹에 대한 해킹은 갈수록 지능화하고 대담해지고 있다. 하지만 금융감독당국은 임기응변식 땜질 보안책만 내놓고 있다. 올 4월부터 시행된 일회용 비밀번호 생성기(OTP)가 대표적 사례다. 금감원은 “OTP가 인터넷 금융거래 때마다 비밀번호를 바꿔주기 때문에 해커의 공격으로부터 안전하다”고 강조한다. 하지만 전문가들은 “OTP가 기존의 공인인증서와 보안카드를 통한 보안체계와 다를 바 없으며 시간차를 이용한 해커의 공격에 무방비로 노출돼 있다”고 반박한다. 우리의 경우 세계 최고의 정보 인프라를 바탕으로 인터넷뱅킹 시장이 급성장하고 있다. 글로벌 해커들이 한국을 공격 대상 0순위로 삼는 것도 이런 배경 때문이다. ◇땜질 처방만 되풀이=전문가들은 “지난 1999년 인터넷뱅킹 도입 후 금융당국은 늘 임기응변식 땜질 처방으로 일관했다”고 지적한다. 해킹을 막을 수 있는 근본적 대책을 수립해 시행하는 게 아니라 당장의 해킹 위기를 넘기려는 임시방편적 성격이었다는 얘기다. 당국은 개인 인감에 해당하는 공인인증서가 해킹으로 빈번하게 유출되자 2002년부터 보안카드(4자리 숫자 35개로 이루어진 코드표) 사용을 의무화했다. 하지만 금융사 웹사이트나 허위 e메일을 통해 개인정보를 빼내는 피싱과 서버 주소를 변조해 가짜 사이트를 만들어 개인정보를 훔치는 파밍이 보편화되자 보안카드는 무용지물로 전락했다. 보안카드 번호도 키보드를 통해 입력되는 순간 PC 메모리에 저장될 수밖에 없고 메모리에 남는 것은 구조적으로 해커의 사정권 안에 들어올 수밖에 없다. 임강빈 순천향대 정보보호학과 교수는 “키보드 정보는 자체의 보안 결함 등의 문제를 안고 있기 때문에 소프트웨어만으로는 해커의 공격을 막는다는 게 거의 불가능하다”며 “소프트웨어적 방어는 한계에 달했고 근본적인 하드웨어적 대책이 병행돼야 한다”고 강조한다. 피싱과 파밍에 이어 PC 메모리에 저장되는 개인정보를 빼내는 메모리 해킹이 기승을 부리자 당국은 4월부터 OTP를 시행했다. 하지만 OTP도 해킹될 수 있다는 사실이 공개돼 감독당국에 대한 비난이 쏟아지고 있다. ◇감독당국의 보안의식은 낙제점=금융당국은 여전히 OTP가 안전하다고 강변한다. 김인석 금감원 IT감독팀장은 “OTP도 일회용 비밀번호가 해킹으로 유출되면 문제가 생긴다”면서도 “하지만 1분마다 비밀번호가 바뀌는 만큼 사실상 해킹이 불가능하다”고 잘라 말한다. 기술적으로 해킹은 가능하지만 확률이 적으니 써도 괜찮다는 게 금융당국의 논리인 셈이다. 하지만 당국은 OTP가 안전하다면서도 최종적으로 지급결제를 하기 전에 전화로 확인할 것을 권장하는 모순적 태도를 보이고 있다. 서울대 공대의 탁승호 교수는 “당국은 OTP가 안전하다고 하면서도 거래 내역을 전화로 다시 확인해야 가장 높은 보안 등급(?)으로 간주할 수 있다는 웃지 못할 스탠스를 취하고 있다”고 말했다. 지난해 11월 한달간 국내에서 신고된 해킹건수가 1,300건이 넘는다. 지난해 11월에는 뉴질랜드 해커가 전세계 130만대의 컴퓨터를 해킹해 250억달러를 절취했다. 인터넷뱅킹 사고에 따른 전자금융 대란은 국가금융 시스템의 근간을 뒤흔들 수 있다. 지급결제의 안전성을 책임지는 한국은행 등 관련 당국과 긴밀한 공조 아래 튼실한 보안체계를 만들어야 하는 이유가 여기에 있다.