허술한 것으로 드러났다. 전문가들은 금융보안의 책임을 개인 이용자에게만 맡기고 근본적인 대안을 마련하지 않는 것이 더 큰 금융피해 위험을 키우고 있는 것이라고 지적한다.
* 인터넷 뱅킹 보안 문제(2010년 4월 29일 zdnet korea)
“특정 기술에 의존한 인터넷뱅킹 보안은 위험“
"보안에서 특정 기술에 의존하는 것은 위험하죠. 법이 특정 기술을 지정하면 더 이상의 혁신은 이뤄질 수 없으며, 기업도 법이 정한대로만 할 뿐 더 이상의 연구는 하지 않습니다."
세계적인 보안전문가 브루스 슈나이어가 한국을 찾았다. 브루스 슈나이어는 최근 이슈가 되고 있는 국내 공인인증서 문제와 관련해 보안에서는 기술적인 문제보다 사회적인 문제가 더 중요하다고 강조했으며, 모든 기술은 개방이 될 때 발전할 여지가 있다는 견해를 밝혔다.
기업호민관실은 29일 서울 코엑스에서 '한국 전자금융거래 보안 기술'에 대한 특별강연회를 개최했다. 강연자로 참석한 브루스 슈나이어는 암호학의 명저로 알려진 'Applied Cryptography'의 저자이며, 보안업체인 카운터페인 창립자이다. 현재 브리티시텔레콤(BT)의 최고기술책임자(CTO)로 재직중인 그는 암호학 및 보안의 대가로 알려져 있다.
공인인증서는 전자거래시 사용자의 거래내역이 변경되지 않았음을 증명할 수 있는 부인방지 기능을 제공하는 방법이다. 최근 국내에서는 전자거래 시 공인인증서만 사용하도록 강제하고 있는 규정 때문에 다양한 기술의 경쟁이 차단되고 있다는 주장이 제기되고 있다. 그는 특정기술에 의존하는 것이 더 이상의 기술혁신을 막는다는 주장을 펼쳤다.
슈나이어는 "신용카드가 도난당한 뒤 얼마만큼의 부정사용이 이뤄졌든 카드 소유자가 책임지는 금액은 50달러에 불과하다"면서 "부정사용 발생 책임을 신용카드사에게 있도록 해서, 이를 방지하는 기술을 신용카드사가 스스로 결정하고, 발전시키도록 하고 있다"고 말했다.
슈나이어는 이어 "보안과 관련해서 특정 기술에 지나치게 의존하는 것은 위험하다"면서 "법에서 특정 알고리즘/프로토콜/보안을 지정하면 더 이상의 혁신을 이뤄지지 않으며, 기업은 법에서 시키는대로만 하면 되기 때문에 보안 기술에 대해 더 이상 연구할 필요가 없게 된다"고 지적했다. 우리나라의 경우 전자서명방식으로 공인인증서를 사용하도록 돼 있어 이것이 다양한 기술의 평등한 경쟁을 저해한다는 지적이 일고 있다. 또한 기술은 개방했을 때 발전 가능성이 있다는 견해도 전했다.
그는 "설계하는 입장에서 보면 복잡성이야말로 보안의 최대 적인데, 아무래도 암호화 기술이라는 것이 복잡해질 수 밖에 없다"면서 "여기서 진가를 발휘하는 것이 오픈소스이다"라고 말했다. 슈나이어에 따르면 현재 사용되고 있는 암호화 알고리즘이나 SSL 같은 임베디드 보안 시스템 등도 오픈소스를 한 뒤 더욱 개선됐다.
슈나이어는 "오픈소스를 통해 디테일을 모두 공개하는 것이 위험할 것이라는 우려도 있지만 현실에는 나쁜 사람보다 착한 사람이 더 많기 때문에, 오픈소스는 무료로 보안 수준을 높일 수 있는 수단이 된다"고 강조했다. 한편 브루스 슈나이어는 또 보안을 위해 어떤 기술을 이용하고, 이것이 얼마나 안정성을 담보하느냐보다 더 중요한 것은 보안에 대한 사회적인 인식이라고 강조했다.
슈나이어는 "온라인 뱅킹의 진정한 위험성은 공인인증서 사용 여부에 있는 것이 아니라, 사람들이 멍청한(쉽게 추정가능한) 패스워드를 고르는 데에 있다"고 꼬집은 뒤 "노트북에 비밀번호를 저장하고, 분실 당하거나 온라인 거래를 이용한 뒤 로그오프를 하지 않고 누군가가 해당 컴퓨터를 사용하도록 하는 등의 이런 사회적인 문제는 기술적인 문제보다 훨씬 더 복잡하고 어렵다"고 지적했다.
<결론>
정보화 사회에 들어서면서 사람들은 굉장히 편리한 서비스를 누리며 살고 있다. 그 중에서도 이제는 굳이 집 밖의 은행을 찾지 않아도 은행 업무를 볼 수 있는 인터넷 뱅킹은 우리의 실생활에 있어서 이제는 없어서는 안 되는 유용한 서비스이다.
그러나 어떠한 일이든 양면이 있는 것이다. 실생활에 없어서는 안 되는 인터넷 뱅킹 또한 위험성을 내포하고 있다. 그 위험성은 현대사회가 안고 있는 정보화 기술의 단점이라고도 할 수 있다. 이러한 인터넷 뱅킹의 해킹 혹은 다른 위험성은 2011년 농협 전산망 마비 사태의 사례에서도 볼 수 있듯이 국가의 안전마저 위협할 정도로 매우 위험할 수 있다.
정보화 사회에 들어서면서 한편으로는 위험이 도사리는 위험사회가 되어가는 분위기 또한 많이 일고 있다. 이것은 국가가 해결해주지 못하는 개개인들의 보안에 대한 불안감에서 비롯된다고 할 수 있다. 인터넷 뱅킹의 자신의 계좌를 자신의 보안의식의 결여로 인하여 해킹 혹은 위협을 받았다면 그것은 단순히 은행기업의 책임만으로는 볼 수 없는 것이다. 개인들의 보안의식의 함양과 각 은행과 보안 전문 기업 간의 보안시스템 개발 경쟁으로 인한 보안의 질이 발전된다면 대한민국의 인터넷 뱅킹은 안전하다고 할 수 있을 것이다.
<참고문헌 & 출처>
금융감독원(2002), “인터넷전문은행의 영업성과", 「전자금융감독정보」2002-2호
김욱(2002), “인터넷뱅킹의 확산에 따른 금융산업 구조변화에 관한 연구”, 「한국개발연구원」, pp 22-119
한국정보시스템학회(2005), “보안위험, 편리성, 사회적 영향이 인터넷 뱅킹 사용에 미치는 효과-계좌이체와 잔액조회 서비스의 비교”,「정보시스템연구 」, 제14권 제2호, pp1-23
김정수, 김영걸(2002), “인터넷 뱅킹에서 고객이 인지하는 가치가 고객 충성도에 미치는 영향”, 「경영정보학연구」, 제 12권 제 4호, pp 215-235
이동수(2013), “인터넷뱅킹에 있어서 개인정보유출을 둘러싼 민사책임 문제”, 「과학기술법연구」, 제 19집 제 1호, pp 37-58
오재신, 강태경(2009), “인터넷뱅킹에서 이용자 만족의 선·후행 영향 요인에 관한 연구”, 「서비스경영학회지」, 제 10권 제 3호, pp 291-312
전형구, 김민수(2007), “인터넷뱅킹 이용에 영향을 미치는 요인에 관한 연구”, 「한국인터넷비즈니스학회」, 제8권 제1호, pp.9-32