인터넷뱅킹을 할 때 사용자들이 불편해 하는 키보드보안, 개인방화벽, 백신 등 일명 '보안 3종 세트'가 사라지면 어떤 일이 벌어질까.
결론부터 말하면 현재로서는 특별한 대안이 없다. 이들을 대체하는 새로운 보안기술을 찾아보기 힘들고, 은행권에서도 갑자기 시스템을 바꿨을 때 발생할 수 있는 또 다른 위험부담을 감수하려고 들지는 않고 있기 때문이다.
국내 보안업계 관계자에 따르면 그럼에도 불구하고 보안 3종 세트를 대체할 수 있는 예상 가능한 시나리오는 두 가지다.
먼저 보안 3종 세트를 걷어내고, 은행 자체적으로 이상금융거래탐지시스템(FDS)을 구축해 대응하는 방법이다. 이렇게 하려면 서버단에서 실시간으로 사용자들의 온라인 계좌이체 내역을 확인하고 분석해 이상여부를 판단할 수 있는 시스템이 필요하다.
수 많은 거래 관련 로그를 수집, 저장, 분석하기 위해서는 빅데이터 기반 시스템을 구축해야 한다. 무엇보다 중요한 것은 어떤 것이 이상거래인지를 파악할 수 있도록 정교한 룰(rule)을 만드는 일이다.
두번째로는 은행별 혹은 여러 은행들이 의견을 모아 별도 인터넷뱅킹 전용 프로그램을 만드는 방법이다. 보안 3종 세트를 이 프로그램에 내장시키는 방법을 고려해 볼 수 있다. 그러나 이 역시 쉽지 않다. 인터넷뱅킹 프로그램을 사칭한 악성 프로그램들이 출몰할 가능성이 높고, 일반적으로 웹을 통해 프로그램을 다운로드 받아야 한다는 특성상 또 다른 피싱, 파밍 등에 노출될 수 있기 때문이다.
사용자들이 이미 별도 프로그램이 아니라 웹브라우저를 통한 금융거래에 익숙해져 있다는 점도 이 방식을 적용하기 힘들게 한다.
금융권에 보안 시스템을 구축해 온 국내 보안업계 관계자에 따르면 우리나라 인터넷뱅킹은 관련 해킹 사고가 발생할 때마다 보안 솔루션을 추가 도입하는 식으로 발전해 왔다.
관련기사
- 금융권 '보안 3종 세트' 의무적용 없어진다2014.11.14
- 국내 PG 3사, 간편결제 위해 'FDS' 고도화 추진2014.11.14
- 액티브X 없는 공인인증서 상용화 눈앞2014.11.14
- 이상거래 탐지하는 FDS, 은행권 구축 사례 공개2014.11.14
때문에 보안 3종 세트는 아예 사용자PC가 악성코드에 감염됐을 것으로 가정한 상황에서 하나씩 도입되다가 정착된 것이다. 전체 인터넷뱅킹 사용자 중 악성코드에 감염된 사용자 PC가 30%라고 가정한다면 나머지 정상적으로 인터넷뱅킹을 활용하고 있는 70% 사용자들도 악성코드에 감염된 사용자 PC와 같은 불편함을 감수해야 하는 셈이다.
금융위원회가 최근 전자금융거래법 개정을 예고하면서 은행들이 자율적으로 보안체계를 구축할 수 있는 길이 열렸다. 그나마 합리적인 대안으로 거론되고 있는 은행 내 FDS 도입이 빛을 발하기 위해서는 뒷단에서 은행들의 노력 뿐만 아니라 앞단에서 보안성을 높이기 위한 사용자들의 자발적인 노력이 뒷받침돼야 할 것으로 전망된다.
