카카오뱅크는 공인인증서도 안 쓴다는데 보안이 괜찮은 것일까?
카카오뱅크가 영업개시 5일만에 100만개 신규계좌를 유치하면서 초반 흥행 돌풍을 이어가고 있다. 대출 액수가 3천230억원, 예적금 모집액도 3천440억원에 달할 정도다.
비결은 기존 은행 프로세스를 개편해 보다 쉽게 편리하게 쓸 수 있게 했다는 점이다.
그러나 카카오뱅크 역시 은행인 만큼 사용성이나 혜택 못지않게 고객 자산을 얼마나 안전하게 잘 관리할 수 있는가도 최우선적으로 고려해야할 사항이다.
이 대목에서 카카오뱅크는 어떤 대응책을 마련했을까?
■ 공인인증서 없이도 보안 괜찮나…
시중은행들의 인터넷뱅킹 사이트와 모바일뱅킹앱은 기본적으로 공인인증서를 활용해 실제 사용자가 이체한 것이 맞는지 확인한다.
공인인증서는 공개키기반구조(PKI)란 표준 암호화 기술을 활용해 보안성을 높이는 방법이다.
국내서는 공인인증서 자체 보다도 이를 구현하는 방식에서 일부 보안 허점이 노출됐다. 공인인증서와 개인키를 PC나 스마트폰 내 공개된 폴더에 저장해 놓는 방식이 적용된 탓에 공격자가 이를 빼간 뒤 사전에 공인인증서를 불러내 전자서명할 수 있는 암호, 보안카드 번호 등을 알고 있으면 계좌이체를 조작하는 일이 발생한 것이다.
이 과정이 쉽게 이뤄지는 것이 아님에도 불구하고 수 년 째 피해자들이 속출했다.
스마트폰에 쓰이는 모바일뱅킹앱은 PC와 달리 내가 갖고 있는 스마트폰을 통해서만 거래가 이뤄지므로 상대적으로 안전한 편이다. 스마트폰 고유의 정보를 활용한 기기인증이 추가되기 때문에 공격자가 내 스마트폰을 훔쳐가거나 악성 앱을 설치해 집요하게 공격하지 않는 이상 해킹 가능성이 적다.
모바일뱅킹만 지원하는 카카오뱅크는 PC에서 발생할 수 있는 여러가지 보안이슈에서는 상대적으로 자유로운 편이다.
카카오뱅크는 또 공인인증서를 쓰지 않는 대신 사설인증서, 휴대폰 본인확인, 패턴잠금, 6자리 핀번호 등을 조합해 자체 인증을 마련했다.
7월27일 카카오뱅크 출범식에서 한국카카오은행 이용우 공동대표는 "(카카오뱅크에서는) 공인인증서를 없앴다"며 "고객 사용시 인증서가 안 보이는 프로세스를 활용했으며, 코어뱅킹시스템에서 보안 관점에서 여러가지 기능을 추가했다"고 설명했다.
이체 과정에서는 카카오뱅크앱을 실행해 패턴잠금해제한 뒤 이체할 계좌 혹은 카카오톡 친구ID를 선택한 다음 금액을 입력하고 6자리 핀번호만 넣으면 바로 이체가 이뤄졌다.
다만 대출심사를 위해 필요한 건강보험공단 등에서 대출 신청 고객의 정보를 가져오는 스크래핑 과정에서는 사용자가 이전에 보유했던 공인인증서를 필요로 한다. 해당 기관에서 공인인증서가 있어야만 정보들을 가져올 수 있는 탓이다.
한국카카오은행 윤호영 공동대표는 "보안은 새로운 어떤 것(something new)이 아니다"라며 "은행업법 상 필요한 다양한 규정을 지켜 인가를 받았고, 시스템 설계단계에서부터 보안전문가들이 붙어 잘 만들 수 있도록 했다"고 강조했다.
■공인인증서-보안카드 없어 불안하다면 OTP 쓰세요
은행 이체 과정에서 공인인증서나 보안카드를 쓰지 않아 불안한 사용자들이라면 일회용 비밀번호(OTP) 카드를 쓰는 방법을 고려해 볼 수 있다.
국내 모든 시중은행들이 지원하고 있는 카드형 혹은 토큰형 OTP 생성기는 이체 등 은행업무를 진행할 때 한층 높은 보안성을 유지할 수 있도록 돕는다.
이체 과정에서 랜덤한 일회용 비밀번호를 생성해 추가로 입력하는 식으로 보안성을 높이는 방법이다.
이를 활용할 경우 최대 5억원까지 이체한도를 높일 수 있다.
카카오뱅크는 미래테크놀로지라는 OTP 전문회사와 손잡고 카카오프렌즈 인기 캐릭터인 라이언을 활용한 카드형 OTP 생성기를 판매하기 시작했다. 구매가격은 1만원이다.
■ 보기 쉽고, 이해하기 쉬운 보안
아무리 뛰어난 보안 기능을 갖췄다고 하더라도 사용자가 쓰지 않으면 없느니만 못하다.
기존 시중은행 모바일뱅킹앱과 카카오뱅크앱이 다른 점은 보안 항목에 대해 보다 알기 쉽게 어떤 추가적인 보안설정을 할 수 있는지 안내하고 있다는 사실이다.
뱅킹앱 상당에 위치한 인증/보안 항목을 누르면 인증수단관리, OTP 등록/관리, 이체/출금 한도변경, 지연이체서비스, 입금계좌지정서비스 등 메뉴를 확인해 볼 수 있다.
이 같은 서비스들은 대부분 다른 모바일뱅킹앱에서도 지원하고 있지만 이해하기 어려운 용어들로 설명돼 있어 보기 불편한 경우가 적지 않다.
이와 달리 카카오뱅크의 경우 인증수단관리 항목에서는 (잠금해제) 패턴 오류횟수 초기화, 패턴 변경 및 재설정, 지문, 인증 비밀번호 오류횟수 초기화, 인증 비밀번호 변경 및 재설정 등을 한 눈에 볼 수 있도록 했다.
이밖에 다른 항목에서도 시중은행들과 비교해 일목요연하게 내용을 정리했다.
관련기사
- 흥행대박 카카오뱅크, 2% 아쉬운 '상담불가'2017.08.01
- 카카오뱅크 돌풍…UI-UX 디테일 통했다2017.08.01
- 카카오뱅크 "카카오와 시너지? 신뢰구축이 먼저"2017.08.01
- 카카오뱅크 질주…"시간당 1만계좌 유입"2017.08.01
카카오뱅크는 내부 시스템 아키텍처를 설계하는 과정에서부터 외부 보안 전문가들과 협업하며 비즈니스에 보안을 녹여내는 작업을 진행한 것으로 알려졌다.
보안성이 얼마나 높은지는 두고 봐야하나 적어도 사용자들에게 불편함을 최소로 하면서 쓰기 편한 보안을 내세우기 위한 고민이 녹아든 흔적은 역력해 보인다.