2015년 3월 한 인기 사이트를 해킹한 뒤 접속한 200여명의 PC에 악성코드를 심어 3만7175건의 공인인증서를 탈취하고 파밍 사이트로 유도해 금융거래에 필요한 개인정보와 금융정보를 수집해 12명의 금융계좌에서 2억원 상당을 빼간 사건이 발생했다.
보안 키를 관리하지 못한 소비자 책임일까, 아니면 해킹된 공인인증서로 인출해준 은행 책임일까?
비대면 거래인 인터넷 뱅킹이나 모바일 뱅킹에서는 개인정보와 금융정보, 특히 공인인증서와 보안카드 등을 사용해야 한다. 하지만 개인이 PC와 집 열쇠와 같은 공인인증서를 제대로 관리하지 못했다는 이유로 금융사고 대부분의 책임은 금융소비자들에게 돌아가 제대로 보상을 받지 못하는 것이 현실이다.
금융사는 탈취된 공인인증서와 개인정보라 하더라도 비대면 본인확인 절차를 거쳤다면 사실상 면책된다. 책임은 대부분 공인인증서를 관리하지 못한 소비자 탓으로 돌아간다. 2014년 정부가 공인인증서 의무화를 폐지했지만 금융사들이 공인인증서를 포기하지 않는 이유다.
공인인증서는 표준 암호화 기술인 공개키기반구조(PKI)를 활용해 보안성이 높지만 사용자 관리 측면에서 해킹되거나 외부에 노출될 가능성이 크다. 금융사고 피해자들은 금융사들이 공인인증서 시스템만 요구하고 다른 인증 시스템에 대한 선택권은 주어지지 않고 있다고 지적한다. 이때문에 금융사고 책임을 소비자가 져야 하는 불합리한 구조를 깨뜨려야 한다는 주장이 계속되고 있다.
액티브X 문제와도 결부돼 공인인증서를 사용하기 위해서는 PC에 이른바 플러그인 '보안 3종세트'를 설치하도록 요구하고 있어 이용자들이 불만을 사고 있기도 하다. 모바일 뱅킹을 하기 위해서는 복잡한 절차를 거쳐 인증서를 복사해 옮겨야 하고 사용기간도 짧아 12개월 마다 갱신해야 한다.
◇ '보안 생명' 금융거래, 공인인증서 사라진 카카오뱅크 안전할까?국내 처음 도입된 인터넷전문은행 중 1호 케이뱅크(K뱅크)는 모바일 금융거래에 각광을 받고 있는 바이오인증을 도입했지만 PC 인터넷뱅킹을 겸하기 때문에 OTP와 공인인증(선택)은 여전히 핵심 인증 방식으로 사용하고 있다. 반면 지난 27일 영업을 시작한 2호 인터넷전문은행 카카오한국은행(카카오뱅크)은 OTP인증과 공인인증을 과감히 없앴다. 모바일뱅킹만 지원하는 카카오뱅크는 PC 보안사고로부터 좀 더 자유로운데다 사용자 보안 인증 과정을 스마트폰에서 모두 빠르게 진행할 수 있다.
시중 은행들도 모바일뱅킹 서비스를 하고 있지만 공인인증서는 필수다. 카카오뱅크는 6자리 핀 번호 입력방식의 사설인증, 휴대폰 본인확인, 타행계좌인증, 패턴잠금, 지문인식 등으로 대체했다. 다만 대출심사는 건강보험공단 등에서 고객정보를 가져와야 하기 때문에 기존 금융거래와 마찬가지로 공인인증서가 필요하다.
불안하다면 카카오뱅크에서 OTP 생성 카드를 옵션으로 구입해 사용할 수 있다. 높은 보안 체계 때문에 최대 5억원까지 이체한도를 높일 수 있다는 특징이 있다.
카카오뱅크 관계자는 "공인인증서는 보안관리 책임을 소비자가 져야 하기 때문에 해킹을 당하거나 개인정보가 노출되면 소비자에게 피해가 돌아가지만, 카카오뱅크는 자체 인증서를 쓰기 때문에 소비자가 아닌 카카오뱅크가 책임을 지겠다는 것"이라고 말했다.
윤호영 공동대표는 출범식에서 "공인인증서를 없앴다. 고객 사용시 인증서가 안 보이는 프로세스를 활용했으며, 코어뱅킹시스템에서 보안 관점에서 여러가지 기능을 추가 했다"면서 "보안은 어떤 새로운 것이 아니라 은행법상 필요한 규정에 따라 인가를 받았고, 설계 단계에서부터 내외부 보안전문가들이 잘 만들어냈다"고 설명했다.
인증 시스템 뿐 아니라 여수신 및 외국환 업무 등 고객과의 금융거래를 담당하는 금융회사의 차세대 계정계 시스템인 코어뱅킹에도 여러 기능을 두어 소비자가 직접 보안항목을 쉽게 관리할 수 있도록 한 점도 이용자들의 높은 점수를 받았다.
금융소비자연맹 강행구 금융국장은 "인터넷전문은행은 비대면 금융거래 방식이기 때문에 금융사고시 그 여파는 치명적이어서 전 금융기관으로 파급될 수 있다"면서 "공인인증, 지문인식, 홍채인식 등 다양한 첨단 보안기술이 적용되어 소비자들의 피해를 최소화 할 필요가 있다"고 말했다.
◇ "카뱅 뜨면서 금융거래 보안 대표주자 공인인증서 빠르게 대체 될 것"카카오뱅크의 보안은 휴대폰에 금융정보와 보안정보가 저장되는 방식이기 때문에 휴대폰을 분실하지 않도록 주의해야 한다. 보안 강화를 위해 본인 인증을 거친 카카오뱅크 앱은 최초 설치한 한 대의 휴대폰에서만 사용이 가능하기 때문이다.
또한 주민등록번호를 비롯한 개인식별정보, 비밀번호, 생체정보 등은 암호화하고, 네트워크를 통한 해킹을 원천 차단하기 위해 고객정보 데이터베이스와 외부 인터넷 연결 시스템을 물리적으로 망분리하는 등 고객정보 보호에 주력하고 있다는 입장이다.
보안 전문가들은 최근 보안 침해 사례가 늘어나면서 우리나라도 표준기술 위주의 하드웨어 기반으로 전환할 것을 제안하고 있다. 특히 금융거래에 있어 사용자 편의성을 극대화 하면서도 높은 보안수준을 가져가야 한다는 것이다.
고려대 정보보호대학원 김승주 교수는 "공인인증서 의무사용이 법제화 되며 보안을 강화하기 위해 액티브X 의존도가 높아진 것은 사실"이라며 "시장이 문제로 지적하는 여러 금융 규제를 풀어내는 대신 보안 문제와 같은 주요 영역은 징벌적 배상이나 형사처벌 등의 책임을 강화하는 것이 필요하다"고 말하기도 했다.
금융사고 시 피해자를 우선 구제하고 책임과 법률적인 문제는 추후 진행해 금융 소비자를 보호하는 제도적 장치 도입도 필요하다는 주장이 나오고 있다.
강행구 금융국장은 "금융피해가 발생하면 사후 보상, 책임 가리기 위한 선 법률처리가 우선되다 보니 상당기간 고통받는 소비자들이 늘고 있다"면서 "금융법을 손질해 금융사가 책임보험 의무가입 등을 통해 소비자 보호를 더 강화하는 방향으로 제도가 개선될 필요가 있다"고 강조했다.
금융업계와 보안업계는 카카오뱅크가 공인인증서를 없애면서 차세대 금융 보안의 시험대 위에 올라선 것으로 평가하면서도 시중 은행들의 공인인증서 폐지도 빠르게 진행될 것으로 보고 있다.
한 보안 전문가는 "공인인증서를 대체하는 보안기술은 이미 많다. 카카오뱅크가 크게 이슈화 되면서 금융 보안 시스템에 대한 시장 흐름이 바뀔 것으로 보인다"며 "미적거렸던 액티브X나 공인인증서 대체 기술이 빠르게 확산될 것으로 보인다"고 말했다.