'인터넷 뱅킹' 스마트폰 속으로라는 기사를 쓰신 분은 트위터에서 @pariscom이라는 아이디로 활동하시는 최진주 기자님이다. 어제 이 기사를 쓰기위해 기자분과 잠깐 인터뷰를 했다. 인터뷰에서도 한 이야기이며, 기사에도 나온 이야기이다.

현재 은행권에서는 지금처럼 각각의 은행들이 서로 다른 ActiveX를 설치해 대는 구조에서 '하나의 플래폼을 통해 인터넷 뱅킹을 할 수 있는 공동 플랫폼을 개발하고 있다'고 한다. 들리는 이야기로는 늦어도 내년 4월경이면 그 실체가 드러날 것이라고 한다. 이런 상황에 하나은행과 기업은행이 스마트폰용 인터넷 뱅킹 어플을 내놓은데 대해 플랫폼을 개발하고 있는 금융권에서는 조금 못마땅한 시선이라고 한다.

현재 휴대폰으로 금융거래가 가능하다. 그러나 난 휴대폰 금융거래를 전혀 하지 않았다. 그 이유는 금융칩을 발급 받은 은행만 휴대폰으로 거래할 수 있기 때문이다. 따라서 오즈폰을 받고 국민은행에서 금융칩을 발급 받았지만 그날로 폐기했다. 사실 장기적으로 생각하면 공동 플랫폼을 이용하는 것이 맞다. 은행마다 독자적으로 사용되는 모듈을 읽어들여 하나의 어플에서 모든 은행을 사용할 수 있다면 시간이 조금 더 걸린다고 해도 사용자에게는 이것이 더 이익이다.

그런데 이런 금융권을 보면 조금 우습다. 스마트폰을 위한 플랫폼을 개발하면서 일반 데스크탑용 플랫폼도 함께 개발할지는 미지수이다. 다만 이런 플랫폼을 돈들여 개발하는 것 보다 모든 운영체제에서 인터넷 뱅킹을 할 수 있는 더 쉬운 방법이 있다. 지금 처럼 ActiveX를 마구 잡이 설치하지 않고 기존의 보안 프로토콜과 아이디, 암호, 보안 카드만으로 인터넷 뱅킹을 하는 것[1]이다.

만약 이 것이 보안상 위험하다고 생각한다면 ActiveX를 설치할 것인지 아니면 보안 프로토콜을 이용할 것인지에 대한 선택권이라도 주어야 한다. 이렇게 되면 따로 어플을 설치하지 않아도 스마트폰을 포함한 모든 운영체제에서 인터넷 뱅킹을 사용할 수 있다. 또 이렇게 되면 공동 플랫폼 개발한다고 설레발 칠 필요가 없다.

재미있지만 외국의 금융권은 모두 보안 프로토콜아이디, 암호만으로 금융거래를 하고 있다. 그러나 해킹과 같은 금융 사고는 우리나라 보다 훨씬 적다. 그 이유는 간단하다. 외국은 보안을 시스템이라고 생각하지 않고 감시라고 생각하기 때문이다. 한 예로 세계에서 가장 큰 금융회사로 성장한 페이팔을 보자. 페이팔은 보안 프로토콜을 이용한 로그인만으로 운영된다. 따라서 어떤 운영체제라도 페이팔을 이용할 수 있다.

그러나 페이팔에서는 사용자의 모든 활동을 감시한다. 예를들어 오늘 접속한 IP와 어제 접속한 IP가 다르다면 이런 정보를 전자우편을 통해 사용자에게 알려 준다. 페이팔 직원이 아니라 내부의 감시는 어떻게 하는지 모르겠다. 그러나 페이팔을 사용하다 보면 내가 한 모든 행동이 페이팔에 의해 감시되고 있다는 것은 쉽게 알 수 있다.

반면 우리나라 금융권은 이런 감시가 거의 없다. 한번은 이런 일도 있다. 모 은행에 로그인하면서 암호를 한번 틀렸다. 그런데 암호가 5번 틀렸다며 계정이 잠겼다. 은행 고객센터에서 들은 답변은 더 어이가 없다. 다른 사람이 내 ID로 로그인을 시도하면서 4번을 틀렸고 내가 한번을 틀려 계정이 잠긴 것이라고 한다. 공인 인증서가 아니고 암호를 반복해서 틀리면 계정이 잠기는 사이트는 이런 방법으로 다른 사람의 계정을 잠글 수 있다.

우리나라는 좋은 시스템만 있으면 보안이 올라가는 것으로 생각한다. 그래서 인터넷 뱅킹을 하려면 은행당 최소 네 다섯개의 ActiveX를 설치한다. 여기에 nProtect는 거의 악성 바이러스 수준으로 동작한다. 키보드 해킹 방지 프로그램까지 은행마다 따로 설치한다. 이 때문에 키보드 해킹 방지 프로그램들이 서로 경주를 벌여 시스템이 다운되는 일까지 발생한다. 그런데 여기에 로그인 암호, 인증서 암호, 보안 카드까지 동원한다.

나이드신 분들은 아예 인터넷 뱅킹을 할 수 없을 정도로 복잡하다. 그러나 이렇게 복잡한 시스템(금융권에서 안전하다는 시스템)을 구축해도 해킹은 노상 발생한다. 그 이유도 간단하다. 보안은 시스템이 아니라 감시를 통해 구축할 수 있는 것이기 때문이다. 시스템만 믿고 보안을 시스템에 떠 넘기면 항상 해킹의 위험에 노출된다.

사용자 과실

꽤 오래 전에 행킹 사건이 발생했다. 수없이 많은 ActiveX, 로그인 암호, 인증서 암호, 보안카드 까지 동원했지만 사용자의 계정이 해킹된 것이다. 그 이유는 사용자의 컴퓨터에 백도어(Backdoor)가 깔려 발생한 일이었다. 이런 일이 발생하자 수없이 많은 기자들이 "사용자의 컴퓨터에 키보드 해킹 방지 프로그램만 있었어도 막을 수 있는 사고 였다"고 금융권을 깠다. 과연 그럴까?

무면허 운전자가 있다. 이 사람이 정비되지 않은 차로 음주 운전을 하다 사고를 냈다. 그러면 이 사람이 사고를 낸 책임을 차를 만든 회사에서 져야 할까? 속도를 감지해서 과속을 방지하고 자동으로 멈추는 제동장치만 있었다면 이런 사고는 나지 않았을 것이라고 기사를 쓰는 얼치기 기자가 있을까? 그런데 우리나라에는 이런 기자가 많다. 여기에 정부까지 나서서 자동차 회사에 의무적으로 자동 제동장치를 달도록 했다. 그런데 이 자동 제동장치에 표준이 없다. 그래서 시민들은 죽을 맛이다.

시민들

차에 강제로 장착된 자동 제동 장치 때문에 죽을 맛입니다.
차가 가다가 갑자기 서버립니다.
시동을 걸어도 걸리지 않습니다.
뒤에서는 섯다고 빵빵거리지. 완전히 죽을 맛입니다.
더 웃긴 것은 자동 제동 장치가 제조사마다 서로 다릅니다.
그래서 어떤 차는 장애물에 반응하고 어떤 차는 수직 충격에 어떤 차는 수평 충격에 반응합니다.
그러니 앞 차가 보이면 멈추는 차.
턱을 넘으면 멈추는 차.
회전하면 멈추는 차.
차가 이렇게 멈추는 덕에 미치고 환장할 지경입니다.

[출처: 무면허 운전자와 인터넷 뱅킹]

기본적으로 자신의 컴퓨터에 백도어가 깔려 계정이 해킹됐다면 그 책임은 은행이 아니라 사용자가 져야 한다. 자신의 컴퓨터를 잘 관리하지 못한 책임은 은행이 아니라 사용자에게 있다. 자신의 카드 비밀번호를 관리하지 못해 그 카드로 누군가 현금 서비스를 받았다면 그 책임을 은행이져야 할까? 술마시고 운전하다 사고가 나면 운전자가 책임을 진다. 컴퓨터도 마찬가지다. 사용자가 컴퓨터를 잘못 관리해서 사고가 낫다면 그 책임 역시 사용자가 져야 한다.

남은 이야기

요즘은 을 제외한 글이 없다. 이렇게 글을 올리지 못하는 이유는 개인적인 사정 때문이다. '글이란 여유의 산물이다'. 그런데 이런 여유가 없다 보니 생각하지 않고 쓸 수 있는 에 대한 글만 올리는 것이다. 또 최근에 이런 무료 어플에 대한 글만 올리다 보니 각종 메타 사이트에서의 인기도 급격히 하락한 듯하다. 그러나 이런 상황은 내년 1월까지는 달리 방법이 없을 것 같다. 따라서 내 블로그의 다른 글을 좋아하는 분들은 내년 1월까지 참아 주기 바란다.

관련 글타래


  1. 제목에서 표준이라고 한 부분은 보안 프로토콜을 말한다.