"보안위해 계좌이체 하루걸리고 OTP 쓰게 해야"

박성훈 인텐트시큐어 대표, 지연 이체 도입 주장

일반입력 :2015/04/19 10:44

손경호 기자

공인인증서나 보안프로그램을 사용하지 않는 대신 계좌이체에 하루 정도 시간이 걸리고, 별도 일회용비밀번호(OTP)발생기를 구매해야한다면 금융소비자들은 어떤 선택을 할까.

기업은행 전 IT총괄이었다가 최근 인텐트시큐어라는 금융보안회사를 차린 박성훈 대표는 기업은행 시절부터 지연이체를 도입해야한다고 주장했었다며 기술적으로 아무리 많이 알아도 공격을 막기가 쉽지 않은 만큼 이체가 지연되는 시간동안 은행이나 금융회사들이 충분히 내부확인작업을 거쳐 사고를 줄일 수 있게 하는 방안을 적용해야 한다고 밝혔다.

은행권에서 오랫동안 보안업무를 담당해왔던 실무자의 고민이 담겨있는 만큼 이유가 궁금하다. 김 대표에 따르면 은행권에서도 특정시간에 한 계좌로 수많은 다른 은행계좌에서 이체가 이뤄질 경우 범죄에 악용되는 대포통장으로 의심해 거래를 정지시키거나 추가확인작업을 거친다. 이런 시나리오는 은행들도 많이 겪어봤기 때문에 어느 정도는 막을 수 있는 노하우가 있다는 설명이다.

■지연이체+OTP가 현실적 대안

다만 이같은 보안체계를 보다 정교하게 운영하기 위해서는 충분한 시간이 필요하다. 최근 이상거래탐지시스템(FDS)을 구축하는 은행들이 늘어나면서 사고에 대비하기 위한 역량을 키우는 과정에 있다. 그러나 페이팔이나 비자, 마스터카드는 물론 주요 글로벌 금융회사들이 FDS를 통해 사기를 방지할 수 있었던 것은 이체를 지연시키는 시간 동안 추가적인 검증과정을 거쳤기 때문이다.

지연이체와 은행들의 분석 노하우만으로 인터넷뱅킹 사기를 막기에는 여전히 부족한 점이 많다. 이를 보완할 수 있는 공인인증서 대체 수단 중 하나가 OTP발생기다.

일반적으로 우리나라에서는 인터넷뱅킹을 위해 각종 보안프로그램을 설치한 뒤 금융결제원이 제공하는 은행용 공인인증서를 발급/등록한 다음, 인증서를 하드디스크, USB드라이브, 보안토큰 등에 저장한다. 그 뒤 공인인증서 구동용 프로그램을 띄워 비밀번호를 입력하고, 다시 은행서 발급받은 보안카드 번호를 입력하는 과정 등을 거친다. 금액이 클 경우 ARS인증이나 문자메시지를 통해 이체에 필요한 추가본인인증을 받는다.

김 대표는 이러한 과정을 OTP발생기를 사용하는 것으로 대체할 수 있다고 설명한다. 스탠다드차타드 은행, 스위스 UBS은행 등 해와 다수 은행들이 채택하고 있는 거래연동 OTP발생기의 경우 하드웨어로 분리된 별도 기기에 계좌번호와 금액 등을 입력하면 내부에서 연산과정을 거쳐 한번의 금융거래에만 사용할 수 있는 말그대로 '일회용 비밀번호(OTP)'를 만들어낸다. 이 번호를 인터넷뱅킹 창에 입력하는 방법으로 결제를 진행한다. 물론 지연이체를 동안 뒷단에서 분석이 필수다.

■실시간 이체만 포기하면 덜 불편하고, 더 안전

지연이체와 OTP를 활용하는 방법도 금융사기를 100% 막을 수 있는 것은 아니다. 실제로 OTP발생기를 통해 나온 비밀번호가 유효한 시간동안 사용자PC에서 이체를 막고, 공격자 PC에서 이 번호를 집어넣어 돈을 가로채는 수법까지 등장하고 있기 때문이다. 더구나 OTP발생기의 경우 항상 휴대하고 다녀야기 때문에 분실위험이 있고, 일반형이 3천원, 카드형이 1만원선으로 은행에서 직접 구매해야한다는 점도 부담이다.

그러나 앞단에서 관리상 취약점에 노출된 공인인증서나 불편함을 감수하면서 설치한 수많은 보안프로그램들이 제대로 된 보안장치 역할을 하지 못하는 해킹사례들이 등장하고 있다는 점을 고려하면 지연이체와 OTP는 금융거래의 보안성을 높이면서도 이전까지 수많은 프로그램 설치, 오류에도 불구하고 해킹에 노출되고 있는 상황과 비교해 보면 합리적인 대안 중 하나다.

다행히 금융당국에서는 법적으로 지연이체와 OTP를 활용할 수 있는 방법을 열어뒀다. 금융위원회는 지난달 전자금융거래시 공인인증서 사용 의무화 폐지 등을 담은 전자금융감독규정 개정안을 의결했다. 또한 이달 초 전자금융거래법 시행령 개정에 따라 인터넷뱅킹, 텔레뱅킹, 모바일뱅킹을 통해 사용자가 원할 경우 자금이체를 지연시키도록 하는 지연이체제를 활용할 수 있게 됐다. 지연이체제는 올해 10월16일부터 시행될 예정이다.

■금융사기, 선보상 후조치 문화 정착되길

관련기사

박 대표에 따르면 뱅크오브아메리카(BoA)는 고객들이 금융사기로 판단해 신고를 하면 4시간 이내에 해당 금액을 일단 입금시켜준다. 그 뒤 보다 철저한 조사를 거쳐 고객이 사기를 친 것은 아닌지, 실제 금융사기가 발생했는지 여부를 판단하는 과정을 거친다. 만약 고객이 의도적으로 사기신고를 한 것이라면 그 비용을 재청구한다. 일종의 선보상, 후조치 체제를 유지하고 있는 것이다.

우리나라에서도 금융사기가 발생하면 '기술적, 관리적 보호조치'를 다했기 때문에 책임을 지기 어렵다 말보다는 뒷단에서 우리가 최대한 사기여부를 찾아낼테니 일단 피해금부터 돌려주겠다는 말이 듣고 싶다.