[확대경] 금융권 전자금융보안시스템 도입놓고 고심

시중은행을 중심으로 한 금융권이 첨단 전자금융서비스 개발을 위해 정보보호시스템 도입을 적극 검토하고 있는 가운데 대부분 은행 및 기관들이 정보보안시스템 도입 방식을 놓고 고심하고 있다.

현재 PC뱅킹 및 전자금융서비스의 보안방법에는 크게 「IC카드시스템」과 「비밀번호발생기(원타임 패스워드)」, 「복수비밀번호」 등 세가지 방식이 있다.

대부분 은행들은 이 세가지 방식을 놓고 보안의 신뢰성 및 고객의 편리성과 각각의 장, 단점을 비교 분석하는 등 정보보안 인프라 구축을 위해 신중하게 저울질하고 있다.

특히 은행들은 전자금융 환경이 정보기술(IT)의 변화추이에 따라 많은 변화를 거듭할 것으로 보고 있기 때문에 이중 하나의 방식을 선뜻 선택해 시스템을 구축하는데 주저하고 있는 것이다.

아직까지 대부분 보안시스템은 실제 적용돼 운용을 거쳐 신뢰성을 확보하지 않은 새로운 개념의 보안솔루션으로, 이를 경쟁사보다 먼저 도입하려는 기관으로서는 투자에 신중할 수밖에 없는 상황이다. 더욱이 은행 및 금융기관들로서는 언제 어디서 터져 나올지 모를 대형 전자금융사고에 불안해 할 수밖에 없기 때문에 보안시스템 구축 방식을 놓고 심각한 고민에 빠져 있는 것이다.

이에 따라 이들 기관들은 정보보호관련 시스템을 개발했거나 개발중인 업체들에게 시스템 제안설명회를 요청하거나 직접 찾아와 자문을 얻는 등 솔루션 찾기에 골몰하고 있는 상황이다.

현재 국내외 공급업체들이 제시하고 있는 IC카드시스템을 비롯한 3가지 보안방식은 주로 서비스 접속시 인가된 사용자인지를 인증하는 방법으로 각각 장, 단점을 가지고 있다.

IC카드시스템의 경우 대칭키(DES알고리듬 등)와 공개키(RSA)등 두가지 방식으로 나누는데 대칭키 방식은 일방 및 쌍방인증이 가능하고 키관리를 시스템 운용자가 관리해 보안노출 가능성이 매우 적다. 또한 공개키방식은 보안성 면에서 가장 탁월한 것으로 평가되고 있는 방식으로 스마트카드만 교환하면 다수의 시스템을 지원할 수 있어 인터넷 전자상거래 및 버추얼 뱅킹서비스 시스템 구축이 가능한 특징을 갖고 있다.

원타임 패스워드 방식의 경우 IC카드시스템에 비해 휴대성이 뛰어나고 PC뱅킹뿐만 아니라 현재 활성화하고 있는 폰뱅킹 서비스에 적용할 수 있다는 점이 강점이다.

특히 국내 업체가 최근 개발한 「매직 ID」는 기존의 원타임 패스워드 방식에다 스마트카드를 적용, 비밀번호 발생기 제조업체가 만들어 놓을 수 있는 시큐리티 홀(보안 구멍)을 없앨수 있을 뿐만 아니라 비밀키를 시스템 운용자가 관리할 수 있는 특징이 있다. 복수비밀번호 방식은 일종의 난수표를 만들어 사용하는 것으로 휴대성과 가격면에서 뛰어난 장점을 지니고 있다.

하지만 이 방식은 난수표가 노출될 경우 적법한 인증절차를 수행할 수 없을 뿐더러 사용자마다 주기적으로 난수표를 교체해야 하는 등 번거로움이 있는 한편 난수표 관리에도 어려움이 따른다. 이 방식은 앞으로 조만간 실현될 인터넷 홈뱅킹 서비스 및 전자상거래를 위해서는 부적합한 방식으로 인식돼 금융기관들이 이 방식의 채택을 주저하고 있다. <표참조>

이같은 상황에서 최근 들어 정보보안시스템을 개발해 출시하거나 개발을 서두르고 있는 업체들도 속속 늘어나고 있다.

이제 정보보안시스템 구축은 금융권의 보안인프라 확보와 전자상거래 기반 구축이라는 측면에서 매우 중요하게 부각되고 있는 것이다.

<구근우 기자>