금융정보보안 세계 꼴찌.기술 진보 대응위해 하나의 제도강요는 안되고, 생체인증, OTP, 보안토큰등 각종기술 금융사가 결정하도록해야

2014.02.13

이민화교수

 

온 나라가 금융 보안 문제로 뒤숭숭하다. IT 선진국이라는 자부심은 이미 접었다. 인터넷 보안의 후진국이라는 사실이 부각되고 있다. 관련 기관들은 대책 마련에 부산하다. 이러한 과정은 현대캐피탈 등 4개의 거대 금융 사고가 터진 2011년 이후 매번 반복되어 왔으나, 문제는 개선되지 않고 오히려 악화되고 있다.

주목할 현상은 전 세계 해커들이 한국을 주요 경유지로 활용하고 있다는 것이다. 한국인터넷진흥원(KISA)에 의하면 전 세계 악성코드의 70%가 한국을 경유하고 있다. 한국은 왜 악성코드 국가라는 불명예를 얻게 되었는가 진지하게 반문해야 한다. 한국의 인터넷 보급률이 높고 전자금융 이용률이 높은 것이 이유가 아니라, 한국의 인터넷 보안 불감증이 높다는 것과 보안 레벨이 낮은 OS와 브라우저의 사용이 높다는 것이 문제의 본질이다.

그런데 이 두 가지 문제는 한 가지 원인에서 비롯된다. 바로 보안에 너무나 취약한 플러그인(Plug-in) 방식의 한국의 공인인증제도 때문이다. 공인인증서에 기반한 한국의 전자금융제도는 `묻지 마 플러그인`을 국민에게 인지시켰다. `설치하시겠습니까?`라는 질문이 나오면 우리는 무조건 `yes` 하도록 길들여졌다. 각종 보안 모듈들을 심기 위하여 다른 나라에서는 상상하기 어려운 전 직원 관리자 모드 사용이 일반화되었다. 보안 레벨이 높아진 상위 OS나 브라우저에서 제한된 액티브X 사용을 풀기 위하여 일부러 보안 레벨을 낮추고 브라우저도 다운그레이드해야 한다.

결과적으로 한국의 인터넷 환경은 악성 코드를 심는 데 최적의 조건을 제공하게 된 것이다. 당연히 전 세계 해커들은 악성코드를 심어야 가능한 각종 피싱과 파밍의 시험무대로 한국을 활용하게 된 것이다. 작년에만도 인터넷 사기는 재작년의 두 배 가까운 8만5000건을 넘어서고 있다. 이제는 분명히 인정해야 한다. 한국이 전 세계에서 가장 악성코드 설치가 쉬운 나라가 되었고 그 이유는 너무나 광범위한 액티브X와 같은 플러그인 방식의 설치에 있고 한국의 공인인증서가 그 바이러스의 숙주라는 것을.

스티브 잡스가 애플의 차기 제품에서 자바 애플릿을 포함한 모든 플러그인 설치를 없애려 한 이유와 마이크로소프트가 액티브X를 보안 목적에 쓰지 않도록 경고하고 윈도8에서는 원칙적으로 지원하지 않는 이유를 당국에서는 이해해야 할 것이다. 자바 애플릿 혹은 액티브X를 이용한 플러그인을 악용한 악성코드 유입이 문제의 근원인 것이다.

다음은 서버 인증을 제대로 하지 않는 전자금융제도에 있다. 가짜 사이트로 유도하는 피싱과 파밍은 서버 인증을 하지 않는 제도의 허점을 해커들이 악용하기에 가능해진다. SSL이라는 통신 암호화가 일반화되지 않은 공인인증 기반의 전자금융제도가 피싱과 파밍 피해를 초래한 것이다.

통신과 저장 단계에서 암호화는 너무 상식적인 보안의 기본이다. 그런데 우리는 통신 암호화는 물론 저장 단계에서도 암호화하지 않아 작금의 개인정보 유출 사고가 터진 것이다.

문제의 본질이 파악되면 임시방편적 대안이 아니라 근원적인 처방이 가능해진다. 단계적으로 공인인증서를 포함한 플러그인 방식의 보안 규제를 개혁해야 한다. 이미 2010년 호민관실과 합의하여 설립된 인증방법평가위원회가 4년간 실질적으로 개점휴업한 것은 분명히 심각한 문제다.

전자금융에 대한 국제협약인 바젤협약은 분명한 원칙을 제시한다. `기술의 진보에 대응하기 위하여 당국이 하나의 제도를 강요해서는 안 되고, 생체인증, OTP(일회성 비밀번호), 보안토큰 등 각종 기술을 반드시(must) 금융사들이 결정하도록 해야 한다`는 것이다.

 

다양한 보안기술들이 금융사 책임하에 활용돼야 한다. 금융사들도 징벌적 배상을 포함해 책임을 분명히 지게 해야 한다.

※ 외부 필진의 글은 본지 편집방향과 일치하지 않을 수도 있습니다.

[이민화 창조경제연구회 이사장·KAIST 교수]