보안전문가, “보안 수단보다 고객 보안 의식 강화돼야”

▲ 공인인증서는 안정성은 높게 평가받고 있지만 번거롭다는 문제와 세계에서 유일하게 국내만 쓰고 있어 해외에서 쓸 수 없다는 문제가 있다. ⓒ공인인증서 캡쳐

공인인증서가 오는 10월 의무사용이 폐지되기로 결정된 가운데, 금융사들이 이에 대비하고 있다. 카드사들은 공인인증서가 필요없는 ‘간편결제’ 방식을 사용하고 있는 반면, 다수 은행권은 대체 수단에 대해 아직 조사하거나 검토 중인 것으로 나타났다.

박근혜 정부의 규제개혁 정책기조로 인해 ‘사실상 폐지’ 수순을 밟고 있는 공인인증서 대체 수단에 대해 은행권은 소극적인 모습으로 풀이된다. 공인인증서 폐지는 핀테크 열풍과 맞물려 폐지 수순에 가속도가 붙을 전망이다.

한편 보안전문가에 따르면 보안 수단보다 고객들의 보안 의식이 더 중요하다고 말하고 있다. 아무리 좋은 보안 수단으로 막아놔도 고객들이 허술한 비밀번호로 설정하거나 의심스러운 인터넷 링크 클릭으로 스미싱에 노출되면 아무소용이 없다는 말이다.

뛰어난 보안 수단과 투철한 보안 의식 양자가 모두 중요하다는 뜻이다.

4일 금융위원회에 따르면, 올해 10월부터 공인인증서 의무사용이 폐지된다. 이는 공인인증서를 반드시 사용하지 않아도 금융 서비스를 이용할 수 있다는 뜻으로 공인인증서를 대체할 다른 수단이 있다면 그것을 사용하면 된다. 그러나 이는 박근혜 정부의 규제개혁 움직임으로 인해 사실상 공인인증서 폐지라고 업계에서 보고 있다.

박근혜, 공인인증서 때문에 해외에서 천송이 코트 못산다?

▲ 박근혜 대통령은 지난해 공인인증서로 인해 해외에서 천송이 코트를 살 수 없다는 발언을 해 사실상 공인인증서 폐지 수순을 밟고 있다. ⓒ뉴시스

공인인증서 폐지 논란은 지난해 3월 이뤄진 박근혜 정부의 규제개혁장관회의에서 나온 ‘해외에서 천송이 코트 구매 불가’ 논란으로 인해 불거졌다.

지난해 3월 열린 1차 규제개혁장관토론회에서 박근혜 대통령이 “공인인증서로 인해 해외에서 천송이 코트를 살 수 없다”는 발언으로 인해 금융당국은 서둘러 공인인증서와 엑티브엑스 폐지에 나섰다.

여기에는 재밌는 사실이 있다. 해외에서 천송이 코트를 살 수 없다는 말은 사실이 아니다. 당시에도 해외에서 국내 쇼핑몰로 30만 원 미만의 제품에 대해 비자카드 등 해외겸용카드를 이용하면 구매가 가능했다.

당시 인기 드라마 ‘별에서 온 그대’가 국내뿐 아니라 중국 등 해외에서 흥행하면서 관련 유행 패션인 여주인공 천송이가 입고 나온 코트도 인기를 끌었다. 이 코트가 이른바 ‘천송이 코트’다.

이 천송이 코트는 박근혜 대통령의 발언과 달리 당시에도 해외에서 구매할 수 있었다. 단 30만 원 미만, 해외겸용카드일 경우에 한해서다. 당시 중국인들도 해외 결제를 할 때 비자카드 등 해외겸용카드를 많이 사용하고 있었고, 국내 쇼핑몰 사이트에서도 천송이 코트는 30만 원 미만으로 가격이 형성돼 있어 충분히 구매가 가능했다.

어쨌든 천송이 코트로 불거진 공인인증서 폐지 논란 덕분에 핀테크 관련 규제개혁에 급가속도가 붙고 있다.

카드사, 공인인증서 필요없이 간편결제 도입

카드사들은 공인인증서 필요없이 간편결제를 도입하고 있다. 신한, 롯데, 비씨, 삼성, 국민카드 등 대부분의 카드사들은 간편결제로 고객들이 온라인 결제시 이용하도록 하고 있다. 이는 지난해 금융위의 조치로 인해 카드사들이 전환한 것으로 풀이된다.

지난해 9월 금융위는 전자상거래 간편결제 활성화 및 액티브엑스 해결 방안에 대해 발표했다.

한국도 외국과 같이 카드정보를 저장해두고 결제시 일부 정보만 입력하는 간편한 결제서비스인 간편결제, 앱카드 서비스를 제공하고 있다. 그러나 소비자들은 이러한 방식보다 복잡하고 불편한 방식인 안심클릭을 많이 사용하고 있는 것으로 나타났다.

결제시 입력 정보는 크게 세가지 방식이 있다. 첫째는 안심클릭으로 카드번호, 유효기간 등을 입력하고 산전에 설정해둔 비밀번호를 입력하는 방식이다. 둘째는 간편결제로 사전에 설정해둔 ID와 비밀번호를 입력과 공인인증서나 SMS 등을 통한 사전 인증을 함께 하는 방식이다. 셋재는 앱카드로 온라인상에서 생성된 결제코드를 앱카드에 입력하는 방식이다.

이 지난해 7월 기준 세가지 방식의 이용비중은 안심클릭이 71.8%, 간편결제가 18.8%, 앱카드가 9.6%로 나타났다.

금융위는 “결제방식별로 보안기술상 차이가 없는데도 ‘안심클릭’의 명칭이 보안에 우수한 것처럼 인식되고, 사전인증절차가 번거로운 데 원인이 있는 것”으로 보고 있다.

이에 금융위는 간편결제의 명칭은 유지하고 안심클릭은 중립적인 명칭인 일반결제로 변경했다.

여전법상 가맹점은 카드결제시 카드회원의 본인여부 확인 의무로 인해 간편결제시 사전 인증절차(공인인증서, SMS, ARS 인증 등)를 요구하는 관행이 있었다. 이로 인해 이용자의 불편과 함게 외국에서 활성화된 원클릭 결제서비스 도입이 제약됐다.

이에 금융위는 간편결제 정보 입력(ID, 비밀번호)과 사전 인증절차(휴대폰 인증 등)를 하는 투클릭에서 간편결제 정보 입력(ID, 비밀번호)만 하고 사후절차로 대체하는 원클릭으로 개선했다.

이에 대해 현재 국내 주요 카드사들의 간편결제 서비스 현황을 <시사포커스>가 파악한 결과, 대부분의 카드사들은 원클릭 결제서비스를 도입하고 있는 것으로 나타났다.

롯데, 신한카드 등은 자체적으로 원클릭 결제서비스를 개발해 서비스하고 있고, KB국민카드는 PG업체, LG유플러스와 제휴를 통해 간편결제서비스를 이용할 수 있게 하고 있다.

한 카드사 관계자는 “지난해 금융당국의 방침에 의해 모든 카드사들이 모여 간편결제 방식을 만들기로 합의했고 각 사별로 간편결제 방식을 자체적으로 만들거나 전문업체와 제휴하고 있다”고 말했다.

대부분 은행권, “보안업체와 협의 중 또는 조사 단계”

이에 반해 은행권은 아직 공인인증서 대체에 대해 조사 단계에 불과한 것으로 나타났다. 신한, 하나, 우리은행 모두 보안업체와 협의 중 또는 조사단계라고 밝혔다.

신한은행 관계자는 <시사포커스>와 통화에서 “공인인증서 대체 수단에 대해 구체적으로 나온 것은 없고 외부 사례를 살펴보고 조사 단계 중”이라고 밝혔다.

하나은행 관계자는 “구체적인 대체수단에 대해 검토된 것은 아직 없다”며 “(실무자가) 보안업체와 만나 공인인증서 대체할 방법에 대해 논의 중”이라고 말했다.

우리은행 관계자는 “정부 방침도 있고 (공인인증서) 대체 수단에 대해 알아보고 있다”고 밝혔다.

이 은행들 관계자들은 모두 공인인증만한 보안이 우수한 수단이 없기 때문에 대체 수단을 마련하는 것이 쉽지 않은 문제라고 입을 모았다.

이에 반해 씨티은행은 올해 연말 공인인증서 없이 인터넷과 스마트폰에서 계좌이체를 할 수 있게 추진 중인 것으로 알려졌다. 씨티은행의 계획대로 된다면 시중은행 중 최초다.

그러나 대체 방식에 대해 씨티은행은 고민하고 있다. 보안수단의 안정성과 고객 편리성이 괴리가 있기 때문이다. 보안 안정성이 높으면 불편하고 고객이 편리하면 안정성이 떨어지기 때문이다.

현재 나와있는 보안 수단은 KB이니시스의 ‘케이페이’, LG유플러스의 ‘페이나우’, ARS, 등으로 다양하다. 페이나우는 결제 때마다 매번 바뀌는 그래픽을 맞춰야 하는 불편함이 있다.

또한 대체 인증 수단 도입으로 인한 비용도 부담이다. 금융사고가 날 때를 대비해 보험료를 내고 있는데, 공인인증서를 사용하지 않는다면 위험이 높아 보험료 상승 요인이 되기 때문이다.

씨티은행 관계자는 <시사포커스>와 통화에서 “가능하면 올 연말을 목표로 진행 중에 있지만 확정된 것은 없다”라며, “보안이나 편의성 등 여러가지를 고려해 확실히 문제가 없을 때 시행할 수 있을 것”이라고 말했다.

보안전문가, “문제는 보안수단 아닌 고객 보안 의식”

이렇게 공인인증서 대체 움직임에 따라 각 금융사들이 고민을 거듭하고 있는 가운데 보안전문가들은 문제는 ‘어떤 것을 쓰느냐’가 아니라 ‘고객들의 보안 의식’이라고 밝혔다.

컴퓨터바이러스백신 알약을 서비스하고 있는 이스트소프트웨어 관계자는 <시사포커스>와 통화에서 “공인인증서가 훌륭한 보안 수단은 맞지만 피싱 등으로 금융사고에 노출될 우려는 언제든지 있다”라며, “문제는 사용자들의 보안 의식”이라고 말했다.

미국 컴퓨터 보안업체 스플래시데이터에 따르면, 사용자들이 가장 많이 쓰는 비밀번호로 ‘123456’으로 나타났다. 사람들이 비밀번호에 대해 너무 쉽게 생각하는 것이 문제라는 것.

실제로 비밀번호는 서버에 암호화돼 웬만한 해커들도 쉽게 비밀번호를 풀 수 없다는 것이 전문가의 설명이다.

이스트소프트웨어 관계자는 “그러나 사람들이 비밀번호를 너무 단순하게 설정하기 때문에 해킹에 쉽게 노출된다”라며, “그래서 범죄자들이 쉽게 대입해서 비밀번호를 알아낼 수 있게 된다”고 밝혔다.

스플래시데이터는 비밀번호 설정에 대해 몇가지를 당부했다.

비밀번호를 12자리 이상 길게 설정할 것(암호화된 네트워크 보호위해 20자리). 비밀번호는 문자와 숫자를 섞는데 대문자와 소문자를 섞을 것, 전화번호·생일 등 알기 쉬운 번호로 절대 설정하지 말 것, 최소 6개월마다 비밀번호를 변경할 것 등을 주문했다.

이러한 사람들의 보안 의식은 금융사고로 종종 연결되고 있다.

지난 10일 서울경찰청 사이버수사대는 지난해 1~4월 앱카드를 타인 명의로 발급받아 1억3400만 원을 가로챈 혐의로 김 모씨 등 3명을 불구속 입건했다고 밝혔다.

신원이 알려지지 않은 중국의 총책은 불특정 다수에게 악성코드가 포함된 문자를 보내 ‘등기 부재로 연락 바랍니다’ 등 문자 뒤에 붙은 인터넷 링크를 클릭하면 악성코드가 설치돼 스마트폰 내의 공인인증서가 이들에게 전송됐다.

이렇게 습득한 공인인증서로 앱카드 발급 받아 인터넷 쇼핑몰에서 모바일 상품권을 구입해 인터넷 중고장터나 상품권 매입자에게 팔았다. 이들에게 피해를 본 사용자는 108명에 달했다.

잘 모르는 인터넷 주소는 클릭하지 않는 것이 상책이다. 이 사전처럼 스미싱 등 금융범죄에 이용될 수 있기 때문이다. 결국 어떤 우수한 보안수단보다 중요한 것은 사용자의 보안의식이라는 것이 증명된 사건이다. [ 시사포커스 / 박효길 기자 ]

 

관련기사

저작권자 © 시사포커스 무단전재 및 재배포 금지