사이버테러에 내 돈 안전할까

대대적인 분산서비스거부(DDoS) 공격으로 인해 ‘사이버 테러’에 대한 경각심이 확산되면서 금융거래 안전성에 대한 고객들의 불안감도 커지고 있다.

12일 금융계에 따르면 전문가들은 DDoS 공격은 정보나 금전을 빼가지는 않기 때문에 고객들에게 직접적인 피해가 가지는 않지만, 늘 새로운 해킹법이 등장한다는 점에서 안심할 수 만은 없다고 지적하고 있다.

일부에서는 심각한 사이버테러가 발생했을 경우 예상되는 피해 규모에 비해 금융권의 보험 가입 규모가 너무 적고 금융권이 고객 보호에 소극적인 태도를 보인다고 지적하고 있다.

◇DDoS 공격에 안전한가=이번 DDoS 공격으로 주요 은행들의 홈페이지와 인터넷뱅킹 접속에 차질이 빚어졌지만 곧 대응에 나서 큰 문제는 없었던 것으로 알려졌다.

금융보안연구원 성재모 팀장은 “작년 가을에 은행권이 전방위적인 감시 시스템을 갖추어놨기 때문에 이번에 비교적 빨리 대응할 수 있었다”고 말했다.

하나은행은 “차세대 전산 시스템을 도입하면서 유연한 네트워크 구조를 구조를 유연하게 바꿨기 때문에 DDoS 공격을 읽어낼 수 있었다”고 말했다.

그러나 규모가 작아 DDoS 대비가 충분하지 않은 증권사나 저축은행들이 공격을 받았다면 피해가 클 수 있었다는 지적도 있다.

금융계 한 관계자는 “증권업계에서도 몇몇 대형 업체들만 DDoS 대비 시스템을 갖춰놨으며 그 밖에 중소형 증권사와 저축은행들은 대비가 충분치 않은 것으로 파악된다”고 말했다.

성균관대 정태명 교수는 “은행의 경우 DDoS 공격으로 인터넷뱅킹 접속이 어려워지면 영업점에 가서 거래를 하면 되지만 증권사의 경우 HTS로 거래를 할 수 없게 된다면 피해가 훨씬 클 것”이라고 말했다.

은행에서는 영업점을 비상 가동하면 어느정도 업무를 소화할 수 있지만 자본시장은 개장 시간이 제한돼 있고 촌각을 다투는 거래가 많아서 증권사들이 오프라인으로는 감당할 수가 없다는 것이다.

◇ 인터넷뱅킹 해킹되면 어쩌나=한국은행과 금융감독원에 따르면 지난 3월 말 현재 개인 인터넷뱅킹 가입자는 5218만1000명(중복가입 포함)으로 5000만 명을 넘어섰다. 작년 한해 인터넷뱅킹 거래금액은 1경1665조 원으로 전년보다 18.9% 늘어나며 1998년 인터넷뱅킹 도입 이후 처음으로 1경을 돌파했다.

국내 은행들의 인터넷뱅킹의 보안은 상당한 수준인 것으로 알려졌다.

최근 자금이체 사고가 심심찮게 터지지만 은행의 인터넷뱅킹 시스템이 뚫린 적은 없었고 대부분은 메일 등에 공인인증서를 담아놨다가 개인정보 유출 등으로 메일이 해킹되면서 발생하는 등 개인정보 관리 소홀에 의한 경우였다.

기업은행 관계자는 “인터넷뱅킹에는 해커들이 들어오는 것을 차단하기 위한 감지차단시스템이 3중방어막으로 돼 있다”고 말했다.

그러나 전문가들은 해킹 기술은 발전을 거듭하고 있기 때문에 앞으로 문제가 없다고 장담할 수는 없다.

금융보안연구원 성재모 팀장은 “해커들은 계속 새로운 시도를 하기 때문에 가령, 키보드 보안을 무력화할 수도 있다”고 말했다.

◇ 사이버 테러 보상 대책은 미미=DDoS 공격으로 인한 피해는 크지 않지만 사이버 테러로 인해 최악의 경우 은행 인터넷뱅킹이 해킹된다면 피해 규모는 천문학적일 수 있다.

그러나 현재 전자금융거래법상 해킹 보험의 가입 한도는 시중은행과 농협중앙회, 기업은행은 20억원 이상, 산업은행과 카드사는 10억 원 이상, 증권사는 5억 원 이상, 보험사는 1억 원 이상에 불과하다. 보험에 들지 않으면 준비금을 적립해야 한다.

안철수연구소 조시행 시큐리티대응센터 상무는 “해킹으로 인한 금융사고는 점점 늘어나 피해액도 커질 것”이라며 “현재 금융기관들의 의무 가입 보험 보상액은 너무 적다"고 말했다.

또 해킹으로 금융사고가 발생해 소비자가 피해를 봤을 때 금융기관이 소비자의 고의.과실을 입증하지 못하면 보상 책임을 지도록 하는 내용의 전자금융거래법 개정안을 정부가 추진하고 있지만 은행들은 반발하고 있다.

소비자의 고의나 중과실은 현금카드나 ID·패스워드·인증서를 제3자에게 양도, 위임하거나 쉽게 볼 수 있도록 방치한 경우다.

그러나 최근 규제개혁위원회에서도 금융기관들이 고객의 고의·과실을 입증하기 어렵고 소비자는 법을 남용할 가능성이 있다며 금융기관의 책임을 완화할 방안을 검토하라고 권고한데 따라 법안 내용이 후퇴할 가능성이 있다.

금융감독원 관계자는 “은행들이 부담스러워하지만 사실 이번 개정안은 은행 등이 일회용 비밀번호(OTP) 사용을 의무화하고 전화로 거래를 재차 확인하는 등의 안전장치를 도입하고 보안에 좀 더 주의를 기울이라는 취지를 갖고 있다”고 말했다.

[연합뉴스]