세계 금융기관은 금융거래 측정에 맞춰 보안 레벨을 다르게 적용한다. 간단한 거래에는 심지어 카드 서명도 받지 않는다. 대부분 암호통신기술(SSL)+일회용비밀번호(OTP)로 이뤄진다. 보안 이론 측면에서만 보면 공인인증서 방식보다 상대적으로 취약하다. 그렇다면 아마존 원클릭이나 23개 통화에 사용하는 페이팔은 안전하지 않은 걸까.
전문가들은 금융거래 형태에 맞춰 다양한 금융인증방법을 선택할 수 있도록 권한을 넘겨야 한다고 말한다. 대신에 책임은 징벌적 배상제를 포함해 금융기관이 부담하게 하자는 것이다. 과징금이 아니라 배상제가 되어야 한다는 것이다. 자율을 주고 결과에 대해 엄격한 책임을 묻는 방식이다.
고영하 한국엔젤투자협회 회장은 “금융감독원 지휘 아래 일괄적으로 공인인증서, 보안모듈을 내려받아 거래가 이뤄지는 것을 바꿔야 한다”고 말한다. 정부가 통제와 보호하는 한 책임도 고스란히 정부의 몫이다. 금융기관은 정보유출 등에 대한 고객 피해를 정부와 반으로 나누기 때문에 책임감도 줄 수 밖에 없다. 계속 악몽이 반복된다.
시기도 적절하다. 다양한 금융 보안 기술이 지속적으로 개발되고 있기 때문이다. 전문가들은 SSL+OTP 방식으로 서버를 최저 수준으로 보안하고 부정거래탐지시스템(FDS) 등 지능형 기술로 보안을 강화하자고 주장한다.
한국 공인인증제도는 서버 검증이 없어 국‘민’은행과 국‘만’은행을 구별하지 못한다. 당연히 사기 서버의 피싱 천국이 된다. MS조차 액티브X 사용을 반기지 않는다. 세계가 SSL과 OTP 방식으로 서버인증을 하는 이유다. 여기에 FDS 같은 지능형 보안 기술을 덧입히면 보안 수준은 더 올라간다. FDS는 사고 발생 개연성이 높은 거래에 대해 승인을 거절하거나 고객에게 부정사용을 알림으로써 카드 사고를 예방하는 첨병 역할을 하기 때문이다.
카드 회원 가입정보, 소비습관 등 빅데이터를 활용해 카드 사용 흐름을 모니터링하는 기술이다. 이렇듯 각 금융기관이 선택할 수 있는 지능형 보안 기술이 다양하게 개발되면서 선택의 가짓수도 많아지고 있다.
허정윤기자 jyhur@etnews.com
