“보안 없는 간편결제, 복잡한 규제 다시 불러올 것”
상태바
“보안 없는 간편결제, 복잡한 규제 다시 불러올 것”
  • 김선애 기자
  • 승인 2015.04.08 15:39
  • 댓글 0
이 기사를 공유합니다

김인석 고려대 교수 “정부 정책 지나치게 조급해…새로운 금융 서비스 보안성 검증 위한 시간 필요”

 간편결제는 편의성과 보안성을 극대화 한 결제 방식이지만, 우리나라에서는 편의성에 지나치게 초점을 맞추고 있어 보안이 심각한 문제가 될 것이라는 지적이 나온다. 지능화된 전자금융사기로 소비자들이 막대한 피해를 입고 있는 상황에서, 보안에 소홀한 간편결제는 매우 위험한 금융 서비스가 될 것이라는 지적이다.

FDS산업포럼 회장인 김인석 고려대학교 교수는 “간편성에만 초점을 맞춘 간편결제로 인해 사고가 발생하면 다시 사용자의 서비스 이용을 불편하게 만드는 복잡한 규제를 만들게 될 것”이라며 “액티브X, 공인인증서 등 현재 지적되는 문제가 되풀이되는 악순환”이라고 지적했다.

금융사기 발생하면 사용자 불편하게 하는 보안 모듈 추가
김 교수는 인터넷 뱅킹 서비스가 시작된 시점부터 보안 문제를 해결해 온 방법을 설명했다. 초기 인터넷 뱅킹은 ID/PW 만으로 서비스를 제공했는데, 보안사고가 발생하자 인증서를 사용해 거래사실에 대한 부인방지 기능을 추가하도록 했다.

모든 은행마다 인증서를 따로 발급받는 과정이 불편하다는 주장이 제기되자 공인인증체계를 이용해 모든 국민이 하나의 인증서를 사용하도록 했다. 바이러스, 키보드 해킹 등을 막기 위해 백신과 키보드 보안 모듈 설치를 의무화 했으며, 피싱방지와 PC 방화벽도 반드시 설치하도록 했다. 이러한 보안모듈을 사용자들이 간편하게 설치하도록 하기 위해 인터넷익스플로러(IE)에서 제공하는 액티브X 기능을 사용했다.

공격자들은 서비스 프로세스의 취약점을 파고들어, 보안모듈로 위장한 악성코드 설치 프로그램을 액티브X를 이용해 내려받도록 하거나, 사용자 PC나 USB, 스마트폰 등에 저장된 공인인증서를 유출해 금융사기를 벌이게 됐다.

더불어 오픈웹 환경으로 발전하면서 여러 웹 브라우저와 OS 지원이 필요하다는 지적이 나오면서 IE에서만 작동되는 액티브X를 벗어나야 한다는 지적이 나왔다.

이러한 문제를 시급하게 해결해야 한다는 지적이 쏟아졌으며, 지난해 박근혜 대통령의 ‘천송이 코트’ 발언이 나오면서 액티브X, 공인인증서, 보안모듈 3종세트는 빠르게 없어져야 하는 불필요한 규제로 단정됐다. 지난해 하반기부터 핀테크 열풍과 함께 모바일 결제와 간편결제가 뜨거운 감자로 떠오르면서 이들은 시급하게 척결해야 하는 ‘구악’으로 치부됐다.

그러면서 간편결제를 위해 모든 보안 프로세스를 없애고 간단한 인증만으로 결제가 가능하도록 하는 방식이 유행하고 있다.

김 교수는 “간편성에만 초점을 맞춘 결제 서비스는 보안이 취약하다. 이 때문에 사고가 발생하게 된다면 다시 사용자를 불편하게 하는 보안 모듈 설치를 강요하게 될 것”이라며 “현재 상황에서 발생하는 문제를 해결하면서 차츰차츰 프로세스를 개선해야 하는데, 정부의 방침은 너무 일방적이고 조급하다”고 비판했다.

FDS, 안전성·보안성 검증할 시간 필요
김 교수는 사기거래탐지시스템(FDS)도 같은 문제를 갖고 있다고 지적했다. FDS는 이전에 발생한 거래내역을 분석해 일반적으로 일어나는 패턴을 찾아내고, 패턴과 다른 이상행위가 발생하는 것을 탐지하는 시스템이다. 신용카드·보험 등의 분야에서 사용되고 있지만, 최근 우리나라에서는 실시간 온라인 거래에도 FDS를 도입해 금융사기를 방지하고자 한다.

전자금융사기가 성행하면서 지난해 금융당국이 모든 금융기관의 FDS 구축을 의무화하자 금융권에서 FDS 구축 혹은 고도화 사업을 진행하고 있으며, 금융보안연구원에서 FDS 가이드를 제작해 배포하는 등 FDS 시장이 활발하게 진행되고 있다.

FDS가 제대로 운영되기 위해서는 사용자의 거래 패턴을 도출할 수 있도록 상당한 시간을 필요로 하며, 초기에는 오탐이 많아 사용자 불편이 늘어날 수밖에 없다. 실시간 거래에 익숙한 국내 소비자들은 자신이 진행한 금융거래가 제대로 진행되지 않는 것을 매우 싫어한다.

이러한 습성을 악용해 공격자들이 FDS로 거래가 중단됐을 때 콜센터에 전화해 거세게 항의하면서 거래를 진행하도록 한다면 콜센터에서 전화를 걸어온 사람이 실제로 본인인지, 공격자인지 확인하는데 어려움을 겪게 된다.

김 교수는 “간편한 서비스 이용을 제공하기 전에 제대로 된 보안 시스템과 보안의식 정착이 해결돼야 한다. 우리나라 전자금융 서비스는 다른 나라에 비해 간편한 편이지만 안전한 거래를 위한 프로세스는 개선돼야 할 부분이 많다”고 말했다.

그는 “전 세계 은행 100여개 시스템이 해킹을 당해 1조원에 이르는 피해가 발생했는데, 피해 은행 중 한국의 은행은 포함되지 않았다. 국내 은행 시스템이 보안에 아주 취약한 것은 아니라는 것을 방증한다”며 “FDS, 핀테크, 간편결제 모두 지나치게 조급해하지 말고 안정성을 충분히 검증하면서 진행해야 할 것”이라고 덧붙였다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.