“우리나라에서 금융보안 사고가 끊임없이 발생하는 이유는 지나치게 세부적인 IT 기술을 중심으로 사고방지 대책을 마련하고 있으며, 보안사고의 책임을 소비자에게 떠넘기기 때문이다. 사고방지 대책 마련을 공급자 중심으로 개편하고, 기술이 아니라 프로세스에서 보안사고를 막을 수 있는 방법을 마련해야 한다.”
오재인 단국대 교수는 29일 열린 ‘금융보안포럼 2014년도 정기총회’ 특별강연 ‘금융IT 주요 이슈 및 대응 방안’을 통해 이같이 주장하며 “선진국에서는 단일 기술 중심의 규제를 적용하지 않으며, 서비스를 공급하는 기업이 소비자의 사기 피해를 방지하기 위한 정책을 마련하도록 하고 있다”고 강조했다.
예를 들어 우리나라에서는 전자금융거래를 위해 공인인증서, ISP 등이 필요하며, 액티브X 기반의 여러 종류의 보안모듈을 설치해야 한다. OTP 혹은 보안카드, SMS·ARS 등을 통한 다중인증 체계도 거쳐야 하는 등 전자금융 서비스 이용 절차가 매우 복잡하다.
외국에서는 별도의 모안 모듈을 구동하지 않고도 계좌정보와 비밀번호만으로 이체가 가능하고, 카드번호와 유효기간만으로 신용카드 결제가 가능하다. 서비스를 공급하는 기관이 사용자의 평소 사용 습관을 패턴화 해 늘 사용하던 IP주소, 단말기, 이용금액 등을 파악하며, 해당 패턴과 다르게 이상행동이 발생했을 때 추가로 본인확인 질문을 던지거나 전화를 통해 다시 한 번 확인하는 등의 서비스를 제공한다.
금융사기방지를 위해 사용자가 별도로 준비해야 할 것은 거의 없으며, 서비스 공급기업들이 사기방지 시스템을 철저하게 구축해야 한다. 특히 서비스 공급기업이 어떠한 방법을 사용해 금융사기를 방지하는지 세세하게 확인하는가에 중점을 두지 않고, 사기방지를 위한 방법을 얼마나 철저하게 세우고 있는지를 중요하게 여긴다.
더불어 금융사기 혹은 금융보안 사고가 발생했을 때 기업의 책임을 강하게 물어 회사의 존폐를 걱정할 만큼 강력한 처벌을 주기 준다. 이 때문에 기업들은 평소에 프로세스를 체계화해 보안사고가 일어나지 않을 수 있는 방법을 제공할 수 밖에 없다.
오 교수는 “보안은 전 사회의 자산으로, 보안사고가 일어났을 때 특정 기업만 피해를 입는 것이 아니라 관련분야 전체에 영향을 미칠 수 있다. 따라서 보안을 민간기업에만 맡겨둬서는 안된다. 또한 금융보안을 IT적으로만 해결해서는 안되고, 비ICT적 겁근과 시민의식 제고, 관리감독 강화 등의 대책이 필요하다”고 말했다.
한편 포럼은 이날 정기총회에서 김영린 금융보안연구원 원장을 3대 회장으로 선임하고, 유시완 하나은행 전무, 심종헌 지식정보보안산업협회 회장을 부회장, 임종인 고려대 교수, 박춘식 서울여대 교수를 감사로 선임했다.
금융보안포럼은 금융보안 이슈 및 현안 공유 및 공동 대응방안 마련을 위해 2010년 7월 설립. 현재 금융회사, 학계, 업계, 유관 기관 등 110여 명의 전문가로 구성돼있다.
