인터넷과 모바일뱅킹 계좌이체를 할 때 보안카드와 일회용비밀번호생성기(OTP) 의무사용이 30일 폐지됐지만 당장 뱅킹 보안 체계에 큰 변화를 기대하기 힘들다.
은행권은 안전성과 비용 때문에 보안카드와 OTP 등을 대체할 새 인증 솔루션 적용에 미온적이다. 이미 1년 전 보안 3종 세트(공인인증서·방화벽·키보드보안) 의무 사용도 폐지됐지만 대부분 은행은 기존 시스템을 그대로 사용 중이다.
상당수 은행은 보안카드와 OTP를 종전대로 유지할 수밖에 없다는 입장이다. 대체할 마땅할 기술이 검증이 되지 않은데다, 새로운 인증 기술을 적용하기 위해서는 전산 프로세스 재구축이 필요하다. 비용 부담이 크다.
한 은행 고위 관계자는 “은행입장에서 대체 기술을 적용하는 것은 투자”라며 “그 목적이 보안을 강화하는 것도 아니고 대부분 대체 기술을 적용하는 것으로 확신이 안서는 상황”이라고 분위기를 전했다.
금융권은 인터넷이나 모바일 뱅킹 보안체계를 전면 개선하는 것보다는 거래 액수별로 보안 수준을 차별화한 서비스를 추진 중이다. 고객이 사전에 지정한 단말기를 이용해 본인계좌로 자금을 이체하는 경우 등 금융사고 개연성 없는 거래만 OTP나 보안카드 입력 없이 통장 비밀번호만으로 거래하는 식이다.
KB국민은행과 우리은행 등은 자체 모바일 뱅킹 플랫폼으로 기존 매체를 사용하지 않고도 이체할 수 있는 서비스를 시작했다. 농협은행과 IBK기업은행 등도 자체 간편이체기술을 선보인다.
하지만 고액이체는 OTP와 보안카드를 종전처럼 적용한다. A은행 관계자는 “생체인증 등 대체 기술을 당장 접목하기에는 위험이 크다”며 “사용고객도 기존 매체를 더 선호하는 경향이 강해 당분간은 기존 매체를 활용하는 쪽으로 갈 수밖에 없다”고 말했다.
B은행 최고정보보호책임자는 “파밍과 피싱 등으로 인터넷뱅킹 고객 정보가 지속 유출되고 이를 이용한 부정인출 사고가 꾸준히 발생한다”며 “고객 보안성과 편의성을 고려해 다양한 핀테크 기술 적용을 검토 중이지만 당장 기존 체계를 완전히 바꾸는 건 무리가 있다”고 설명했다.
통장비밀번호를 생체인증으로 대체하는 방안도 추진 중이지만 대체인증 수단 안전성 검증에 시간이 걸린다. 은행은 금융결제원이 올해 말 `바이오정보 분산관리시스템`을 구축하면 바이오인증 도입이 조금 빨라질 것으로 본다. 금결원은 바이오정보를 인증이 불가능한 조각으로 분할해 기관 간 분산 관리하는 시스템을 구성한다. 정보 유출에 대비해 등록 템플릿 조각을 금융회사와 금결원이 분산해 관리하는 구조다. 금결원은 FIDO(FastIDentity Online) 인증기술과 분산관리기술을 통합해 지원할 예정이다.
김인순 보안 전문기자 insoon@etnews.com, 길재식 금융산업 전문기자 osolgil@etnews.com
