금융자동화기기도 해킹 `무풍지대` 아니다

　최근 인터넷뱅킹 해킹 사건을 계기로 전자금융의 보안성 강화에 대한 논의가 불거지는 가운데 금융자동화기기(CD/ATM)도 해킹을 당할 수 있다는 우려가 제기되고 있다.

　마그네틱 또는 IC카드와 4자리(또는 6자리) 숫자 형태의 비밀번호를 이용하는 자동화기기 거래 역시 본인 확인과 고객정보의 송수신 과정에 잠재적인 취약성이 존재하고 있어 차제에 이에 대한 점검과 정책적·제도적 대책이 마련돼야 한다는 목소리가 높아지고 있다.

　◇잠재적인 보안 위협=ATM 거래와 관련된 보안상 잠재적 취약성은 우선 고객 거래정보가 은행과 기기 간에 송수신되는 과정에서 예상되고 있다. 현재 기기와 은행간 정보 송수신에는 전용망이 이용되고 있어 인터넷 등 공중망을 통한 접근과 해킹보다는 쉽지 않다. 하지만 업계 전문가들은 “ATM이 설치된 빌딩의 통신 단자 등을 통한 네트워크 침입으로 송수신 정보가 유출될 가능성을 완전 배제할 수 없다”는 분석을 내놓고 있다.

　특히 현재 은행과 기기 간 정보 교환이 대부분 국내 보안 알고리듬(SED)과 공개키기반구조(PKI)를 적용해 소프트웨어적으로 이뤄지고 있어 네트워크 침입자가 현금자동입출금기(ATM)에 공개키 신호를 보내고 이에 반응한 고객 정보를 기기로부터 받아볼 수도 있다는 주장이다. 이 같은 맥락에서 지난해 10월 국정감사에서 ATM의 비암호화 문제가 거론되기도 했다. 일부에서는 하드웨어 기기를 이용해 3중으로 암호화해 차단해야 한다는 의견도 제기되고 있다.

　또 다른 하나는 기기 사용시 본인확인 과정 문제다. 최근 카드 복제를 막기 위해 IC카드 전환이 진행되고 있지만 카드 삽입 후 입력하는 비밀번호가 단순히 4∼6 자리의 숫자로만 이뤄져 있어 광학처리나 카메라 등을 이용한 유출이 가능한 만큼 이를 보완할 필요성이 있다는 주장이 나오고 있다.

　◇대책과 과제=ATM을 이용한 불법 금융거래사고의 경우 인터넷을 이용한 해킹과 달리 사용자 부주의나 외부위협 등 물리적인 사고가 동반되는 경우가 많다. 따라서 이로 인해 발생하는 금융사고에 대한 책임소재 판명에 앞서 은행 등이 사전 방지 시스템을 더욱 강화해야 한다는 의견이 지배적이다.

　현재 네트워크 해킹을 대비해 하드웨어 암호화 보드 방식을 도입해야 한다는 지적이 제기 되고 있다. 해외 금융기관에서 이미 사용되하고 있는 이 방식은 SW적인 방식에 비해 비용이 3배 이상 소요되는 것으로 알려져 있다.

　또 카드와 숫자 비밀번호에 의존하고 있는 사용자 본인확인 방식에 생체인식 솔루션을 적용하는 방안도 다시 부상하고 있다. 현재 우리은행은 ATM에 카드·비밀번호 방식과 함께 지문 인식센서와 인증시스템을 적용한 방식으로 이뤄진 듀얼 서비스 체계를 구현, 고객이 선택적으로 사용하도록 하고 있다.

　 이정환기자@전자신문, victolee@