[사설]이중 삼중 보안이 최선의 정책인가

다음 달부터 온라인 게임 이용자들은 30만원 이상 소액 결제할 때 공인인증서와 휴대전화 문자 인증을 모두 받아야 한다. 금융위원회와 금융감독원이 마련해 8일 발표한 온라인 결제 보안강화 종합대책에 따르면 그렇다. 온라인 해킹 피해가 나날이 늘어나 정부 조치가 필요한 시점이다. 하지만 꼭 이 방향이어야 하는지 의구심이 든다.

이중 인증 의무화는 금융사 소액결제체계인 안전결제(ISP)와 안심클릭을 이용한 고객 정보를 빼낸 범죄자들이 온라인 게임 사이트에서 부정 결제를 한 사건이 계기가 됐다. 그런데 안전결제나 안심클릭, 공인인증이나 휴대전화 문자인증 모두 개별적으로 유효한 보안 수단이다. 모두 금융당국이 제도로 도입하지 않았는가. 그런데 이제 금융당국이 안전결제와 안심클릭도 결코 `안전`하지 않고 `안심`할 수 없으니 다른 수단을 쓰라고 한다.

사실 개인정보 유출을 막기는 쉽지 않다. 아무리 보안을 철저하게 해도 정보를 빼내려고 작정한 이들을 어찌 막을 수 있겠는가. 이럴 바엔 빼낸 개인정보를 쓸모없게 만드는 정책이 더 효과적이다. 한국개인정보보호협의회는 개인정보 유출 문제의 근원인 `주민등록번호제도`를 전면 재검토할 것을 주장했다. 같은 날 금융당국의 대책보다 더 현실적으로 보인다.

금융당국은 인터넷 뱅킹·주식 거래와 같은 금융거래 시 이용자가 미리 등록한 모바일 단말기만 가능하도록 할 예정이다. 유심(USIM) 형태의 보안토큰도 보급한다. 보안 수단 강화를 나무랄 뜻은 없다. 하지만 당국은 이용자 불편을 전혀 고려하지 않는다. 이중, 삼중 보안이 되레 이용자 불안만 더 고조시킨다.

이것저것 새 제도를 도입하는 게 혹시 개인정보보호 책임을 금융사보다 이용자에게 더 지우려는 게 아닌가 하는 의심마저 산다. 정작 중요한 정부의 실효성 있는 정책과 금융사 내부 보안 강화는 여전히 뒷전이다. 새 보안 대책이 그다지 반갑지 않고 오히려 걱정스러운 이유다.