[블로터포럼] 안전한 금융결제의 허상

가 +
가 -

지난 11월3일 KB국민카드와 BC카드의 소액결제 체계인 안전결제(ISP) 서비스가 해킹당하는 일이 발생했다. 당시 경찰청 사이버테러대응센터가 밝힌 피해자는 약 190여명. 경찰청은 “830회에 걸친 부정결제 과정에서 약 1억8천만원 이르는 피해가 발생한 것으로 보인다”라고 밝혔다. 1억8천만원이면 18k 금반지 900여개를 살 수 있는 금액이다. 엄청난 금융사고가 벌어진 셈이다.

안전결제 서비스는 30만원 미만 온라인 거래에서 사용되는 소액결제 시스템이다. 안전결제 서비스 첫 회 사용에 한해 카드번호와 비밀번호, 유효기간, 카드확인코드번호(CVC), 안심결제 비밀번호 등을 입력하고 나면, 그 다음부터 안전결제 비밀번호만으로 거래가 이뤄진다.

KB국민카드와 BC카드는 “인터넷 안전결제 비밀번호만을 입력하기에 신용카드회원이 신용카드번호와 비밀번호 등을 입력함으로써 발생될 수 있는 개인정보 유출의 문제점을 해소할 수 있다”라며 안전결제 사용을 권장했다.

그러나 세상에 그 어떤 창도 막을 수 있는 방패는 없는 모양이다. 이번 해킹 사건으로 안전결제 서비스의 허점이 드러났다. 범인은 안전결제 인증서 정보가 사용자 PC에 고스란히 저장된다는 점을 노려 악성코드로 사용자 PC를 감염시킨 뒤, 안전결제 인증서를 통째로 복사해 사용자 모르게 결제하는데 성공했다. 카드번호, CVC, 비밀번호, 카드 유효기간, 별도의 안전결제 비밀번호가 고스란히 해커 손에 넘어갔다.

이번 사건 발생 후 금융감독원을 비롯해 국내 많은 은행과 카드사들이 보다 안전한 금융결제 시스템을 만들겠다고 나섰다. KB국민카드만 해도 안전결제에 공인인증서 결제를 더 해 안전장치를 더 마련하겠다고 밝혔다. 온라인 결제는 매년 늘어가고, 해킹 수법도 다양해지는데 10여년 전 등장한 금융결제 시스템만 믿고 있을 순 없다. 안전결제처럼 공인인증서 역시 해킹 당하지 말란 법 없다. 매번 금융사고가 발생한 뒤 사후약방문 격으로 보안 강화를 외치기보다는 근본적인 대책을 세워야 할 때다.

이번 블로터포럼에서는 보다 안전한 금융결제 시스템을 만들기 위해서 필요한 기술에는 무엇이 있는지에 대해 김기창 오픈웹 운영자 겸 고려대학교 법학원대학원 교수와 하태숙 KT 금융플랫폼팀 상무, 박영철 차장과 함께 얘기를 나눴다. 김기창 교수는 오픈웹이란 웹사이트를 통해 윈도우 운영체제와 인터넷 익스플로러에서밖에 사용할 수 없는 국내 결제 서비스의 문제점과 안정성 문제를 꾸준히 제기하고 있다. 하태숙 상무와 박영철 차장은 KT내에서 금융결제 사업을 담당하고 있다. 이번 포럼에서는 BC카드와는 별개로 순수하게 안전한 금융결제 시스템을 만들기 위해선 어떤 기술이 필요한지만에 집중해 말하겠다고 강조했다.

  • 일시 : 2012년 12월 21일 오후 5시.
  • 장소 : 블로터 아카데미
  • 참석자 : 김기창 오픈웹 운영자 겸 고려대학교 법학원대학원 교수, 하태숙 KT 금융플랫폼팀 상무, 박영철 차장, 이지영 블로터닷넷 기자

이지영 : 사건 발생 후 약 3주가 지났다. 사용자들은 아직도 어떤 식으로 내 개인정보가 유출돼 해킹이 일어났는지 자세히 모른다. 경찰청은 “안전결제 시스템 자체가 해킹되었다기보다는, 사용자 개인 PC가 해킹돼 PC 안에 저장된 인증서가 유출됐을 가능성이 높다”라며 “개인 PC에 백신프로그램을 설치하는 등 안전을 기하길 바란다”라고 당부했을 뿐이다.

물론 사건 이후 KB국민카드는 지난 7일부터 모든 게임사이트에서 이뤄지는 안전결제에 한해 결제 금액에 관계없이 공인인증서 추가 결제를 실시하겠다고 밝혔다. 이쯤되니 공인인증서로 결제하면 안전한지, 개인이 조심하면 금융결제 해킹은 막을 수 있는것인지 궁금해졌다.

김기창 교수 : 경찰이 수사 중간에 발표했던 것처럼 안전결제 인증서 복제를 통한 해킹은 새로운 게 아니다. 사용자 PC에 저장된 가상카드, 즉 인증서를 복제해 결제하는 일은 예전에도 있었다. 안전결제와 공인인증서 해킹을 통해 일어난 금융사건은 올해 초에도 있었다.

문제는 안전결제라는 제도를 문제삼지 않고 ‘사용자 PC가 해킹당해 생긴 일이니 개인이 조심해야 한다’라는 시각 자체라고 본다. 안전결제와 공인인증서 사용을 위해 국내 금융기관들은 사용자들에게 무수히 많은 플러그인을 설치하라고 강요하고 있다. 많은 사용자들이 의심없이 플러그인을 설치한다. 이 과정에서 악성코드가 사용자 PC에 설치될 확률이 높아진다. 금융기관이 원인을 충분히 제공해놓고 개인 PC에 백신프로그램 설치하라는 식으로 책임을 넘기는 건 아닌 듯 하다.

이지영 : 결제 과정에서 필요한 플러그인 설치가 금융결제 환경을 오히려 위협한다면, 이같은 제도를 도입하게 된 배경은 무엇인지도 궁금하다. 문제가 생기면 새로운 결제방식을 만들 수 있는 것 아닌가.

박영철 차장 : 처음부터 사용자에게 설치를 권하는 플러그인 방식이 성행했던 건 아니다. 90년대 말이었을까. 신용카드가 등장하고 VAN(부가가치 통신망)사가 생겨나기 시작했을 때, 국내 유명 백화점 한 곳에서 온라인 물건 판매를 시작했다. 이 때 온라인 물건 판매 과정에서 암호화 코드를 몇개 넣어 안전하게 결제를 해보려는 노력이 생겨났다.

이때 미국에선 비자와 마스터가 인터넷 상에서 신용카드로 결제할 수 있는 보안 모듈을 만들어 상용화했다. 이 일을 시작으로 비자는 인터넷에서 안전하게 거래할 수 있는 플랫폼을 만들기 시작했고 그 중 하나가 ‘3D 인증’이다. 나중에 국내 업체가 이 3D 인증을 도입해 기능을 몇가지 추가하면서 플러그인 방식으로 결제하는 문화가 만들어졌다.

김기창 : 3D 인증은 지금도 비자가 전세계적으로 권장하는 방식이다. 온라인에서 신용카드를 쓸 때 3D 인증 전에는 카드번호, 유효기간, CVC 값만 넣으면 거래가 이뤄졌다. 이 과정에서 카드번호 유출이 쉽게 이뤄지다보니 비자는 한 가지 더 관문을 만들었다. 사용자가 인터넷에서 비자로 최초에 거래할 때 비자가 운영하는 인증서버에 접속해 “나는 앞으로 카드를 쓸 때, 추가로 ‘홍길동’이란 암호를 입력하겠습니다”라고 등록하게 한 것이다. 등록 후 사용자는 그 어떤 인터넷 쇼핑물에서든 비자 카드로 결제하면서 카드 비밀번호와 함께 또 다른 비밀번호를 입력함으로써 “내가 실사용자가 맞다”라는 걸 증명했다.

박영철 : 이게 국내에 적용되면서 ‘인심클릭’이란 이름을 달았다. 3D 인증을 한국화 하는 과정에서 키보드, 방화벽 등 여러가지 플러그인으로 들어갔다. 이 과정에서 사용자가 안전하게 금융결제를 하려면 여러가지 플러그인을 설치할 수 밖에 없는 구조로 금융결제 플랫폼이 만들어졌다.

사실 비자는 3D 인증 도입을 권장하기 위해 인터넷 쇼핑몰 서비스에서 결제를 어떻게 설계하면 좋을지 등을 메뉴얼로 만들어 배포했다. 비자가 제공하는 매뉴얼에 따르면 플러그인 없이 순수하게 웹브라우저만으로 금융결제 시스템을 만들 수 있다.

김기창 : 그러나 국내는 플러그인 방식으로 금융결제 시스템을 만들었다. 그 이유는 상상에 맡기겠다. 국내 보안업체 힘이 워낙 강하지 않은가.

하태숙 상무 : 플러그인이 도입되면서 금융결제가 편리해지기도 했지만, 동시에 오늘날과 같은 해킹 위협 문제에 부딪히게 됐다. 해커들은 플러그인을 감염시켜 악성코드를 유포했다. 해커가 악성코드를 통해 개인 PC에 침입해 공인인증서와 안심결제 인증서를 복제한다는 얘기가 심심찮게 들리기 시작했다.

당연히 결제서비스를 제공하는 기업들의 고민도 커졌다. 플라스틱 카드와 다르게 온라인은 맘만 먹으면 해킹을 통해 수천장을 훔칠 수 있다. 각 기업은 사용자의 거래 정보가 보관되는 사내 서버에 대해서 매년 엄청난 돈을 들여 보안을 강화하고 있다. 사용자 기기에서 서버까지 오는 구간도 마찬가지다. 그러나 정작 소비자 손에서 거래가 바로 이뤄지는 환경, 최종 클라이언트 환경 보안만큼은 손도 대지 못하고 있다. 처음엔 방화벽과 키보드 보안 기능 등이 사용자를 보호할 것이라고 믿었다. 그런데 오히려 이같은 기능들이 오히려 사용자들을 더 위험에 노출시키고 있었다.

김기창 : 안전결제를 비롯해 지금과 같은 금융결제 환경에서 해킹이 왜 가능한지 아는가. 사용자가 인터넷에서 결제할 때 결제가 이뤄지는 기기에서 카드번호, 유효기간, 뒷자리 숫자, CVC 값 등이 저장된다. 이 정보가 사용자 컴퓨터 안에 저장된 탓이다. 암호화 여부 상관없이 비밀번호가 탈취되면 상황 종료다.

앞서 언급된 비자의 3D 인증은 ‘금융사고를 막는 보안 모듈을 도입하자’가 아닌 ‘우리가 다룰 수 있는 수준에서 사고를 방지하고 막자’였다. 그러나 각종 플러그인이 붙어버리면서 국내 보안 시스템은 ‘다룰 수 있는 수준’을 넘었다. 너도나도 다양한 플러그인과 보안 시스템을 만들다보니, 금융사고를 막을 수 있는 대책 또한 너무나 다양해져버려 손 쓸 수 없게 됐다.

이지영 : 이상하단 생각이 든다. 복잡하고 다양해져서 문제라면, 새로운 결제 시스템을 만들어서 도입하면 되는 것 아닌가. 플러그인 없는 결제 방식을 만들어서 도입하면 보다 안전한 금융결제가 이뤄지는 것 아닌가. 왜 근데 10여년이 넘도록 새로운 결제 서비스가 나오지 않는가. 게다가 금융감독원과 금융위원회는 현존하는 결제 서비스, 공인인증서·안전결제·안심결제·간편결제가 안전하다고 말한다. 이들이 안전하다고 말한 이유가 있지 않겠는가.

김기창 : 우선 새로운 결제 시스템이 나오지 않는 건, 제도 문제다. 현재 법령으로 공인인증서를 반드시 사용하도록 강요된 상태다. 현재 은행 거래시 일회용 비밀번호를 쓰지만 공인인증서도 함께 쓰는 건 이 때문이다.

박영철 : 금융감독원과 소비자 서로 생각하는 ‘안전’이 다르다. 소비자는 한 푼이라도 내 계좌에서 몰래 빼가는 것 자체를 싫어한다. 이런 일을 없도록 방지하는 걸 좋아한다. 하지만 100% 해킹 위협이 없는 ‘안전’이 어디있겠는가. 금융감독원은 해킹 위협을 막을 수 있는 수준을 ‘안전’하다고 본다.

김기창 : 사실 기관이 말하는 ‘안전하다’라는 주장은 근거가 없다. 보통 보안 사고에서 많이 얘기되는 게 ‘암호화 알고리즘이 깨지지 않았으니, 이를 기술적으로 깨는 게 불가능하니 안전하다’는 말이 나오는데, 사실이 아니다. 실제로 해킹 공격이 암호화 알고리즘 깼다고 말하는 거 보았나? 아니지 않은가.

이지영 : 각 결제 서비스 회사가 해당 제도를 도입하지 않겠다고 하면, 쓰지 않겠다고 하면 어떤 제재가 가해지는가.

김기창 : 규정을 꼼꼼히 읽어보면, 해당 제도를 지키지 않았을 때 제제를 받는다는 명시적인 조항은 없다. 그러나 금융감독원이 워낙 파워가 막강하기에 국내 금융기관이 이를 쉽게 어기지 못한다. 국내서만 해도 KG이니시스가 대행하는 애플코리아 쇼핑몰에선 플러그인 설치 없이, 공인인증서 없이, 방화벽과 키보드 보안 없이 거래가 이뤄진다. 이를 두고 금융감독원이 뭔가 제재를 취했단 얘기는 듣지 못했다.

이지영 : 결국 지금까지 내용을 정리해보면 현존하는 인터넷 결제 서비스도 그리 안전하지 않고, 플러그인 방식이라 오히려 더 악성코드 유포에 잘 쓰일 수 있단 얘기로 들린다. 이 과정에서 기업은 더 좋은 시스템을 만들고 싶어도 이를 막는 규정 때문에 새로운 시스템 적용이 힘들며, 일부 기업은 자체 시스템을 만들어 운영 중이라니….

김기창 : 이렇게 보면 된다. 어떤 결제 시스템이든 현재 상황에서 어쨌든 금융사고는 난다. 안전결제, 간편결제, 공인인증서, 안심클릭 등 말이다. 그런데 시간이 지나면 사건이 그냥 쉬쉬하고 조용해진다. 이런 상황의 연속이다.

이번 안전결제 해킹 사고 터지고 금융감독원이 ’30만원 미만에도 공인인증서 쓰자’라는 얘기를 은근슬쩍 내비친 것으로 안다. 가장 좋은 방법은 자율로 풀어서 시장 경쟁에 맡기는 거다. 각 은행과 쇼핑몰이 책임지고 결제 시스템 만들지 않겠는가. 업계 스스로 고민도 하고, 이런 게 더 좋은 방법이지 않을까.

박영철 : 앞서 언급했지만, 금융권이 갖고 있는 서버는 정말 투자를 많이 한다. 하지만 최종 거래 홈페이지에서 이뤄지는, 고객이 가지고 있는 기기에서 일어나는 모안 모듈에 대한 투자는 거의 없다.

남들보다 뛰어난 기술을 적용하려고 해도 국내 규제 때문에 적용이 일어나지 않는다. KT도 사용자 기기에 적용할 새로운 보안 정책을 만들어 내는데, 법규 때문에 쉽게 적용하지 못할 때가 많다.

하태숙 : 딱 오프라인만큼 온라인도 유통성 있게 보았으면 좋겠다. 오프라인에서는 카드사고가 나도 걱정하지 말라는 ‘소비자 안심’ 과정이 잘 돼 있다. 카드를 분실하면, 전화해 신고하고 거래 중지를 요청하라는 식으로 말이다. 그런데 왜 온라인은 모든 기관이 나서 ‘안전’하다고 외치면서 기업들에게 ‘절대 안전’을 주문하는지 모르겠다. 플라스틱 카드 정도의 안전 대책 과정을 마련하면 충분하다고 본다. 사전 유출 방지 못지 않게 유출 이후 상황을 수습하는 것 역시 중요하다. 지금 상황이라면 사전에 안전한 결제만 고집하게 된다.

김기창 : 지금보다 더 나은 결제 환경을 만들려면 필요한 게 규제 완화다. 다양한 보안 결제 프로그램이 나올 수 있게 상황이 경쟁 구도로 바뀌어야 한다. 특정 운영체제와 웹브라우저에서만 쓸 수 있는 금융결제, 이걸로 안전하게 금융거래를 할 수 있다고 믿는건지 의문이다.

하태숙 : 침입자가 뭘 가져가고, 클라이언트에서 정보를 가져가지 못하게 만드는 환경이 중요하다. 공인인증서 자체가 문제가 아니라 공인인증서를 설치하기 위해서 플러그인을 만들었다는 게 중요하다. 사실은 플러그인을 전혀 못하게 하면 해킹 프로그램이 들어올 가능성이 그만큼 줄어든다. 액티브X만 제거해도 안전도가 확 올라간다.

또 하나 기술적으로 마지막 보루는 고객이 넣는 비밀번호다. 고객이 비밀번호 넣는 그 순간의 보안이 중요하다. 일회서 비밀번호 기술이 중요한 이유다. 비밀번호를 완벽하게 만드는 게 안전한 금융결제 수단을 만드는 데 있어 핵심이라고 본다.

김기창 : 사용자의 컴퓨팅 환경, 이를 안전하게 만드는 게 중요하다. 고객에게 사용자에게 백신 프로그램을 강제로 설치하라고 해선 위험한다. 절대로 이뤄질 수 없다. 교육을 통해서 인터넷 사용 습관을 바꿔야 한다. 인터넷 쇼핑 할 때마다 뭘 설치해야 한다고 하면 클릭해서 설치하는 습관을 줬는데, 이와 반대되는 방식으로 교육하는 게 옳다.

박영철 : 이상적인 걸제 시스템을 만든다면, 사용자는 자신이 결제하는 환경에서 아무런 프로그램도 설치하지 않은 채 ‘나 자신이 직접 결제하는 게 맞습니다’라는 것만 입증하게 만드는 게 가장 좋다. 기업은 당연히 이 사용자가 진짜 사용자인지 아닌지 패턴을 따져 분석하는 환경을 만들어야 한다.

이지영 : 금융 제도를 바꾸고, 법령을 바꾸고, 플러그인 설치를 없앤다고 해서 현재보다 더 안전한 결제 환경이 만들어진다는 보장이 있는가. 보안업계는 우리나라가 그나마 플러그인 형태를 취해 해외보다 보안사고가 덜 터진다고 말한다. 이는 금융감독원도 마찬가지다.

김기창 : 금융사고에 대한 투명한 조사 자체가 존재하지 않는다. 금융감독원이 국회의원에게 국정감사할 때 자료를 제출하면서, 금감원 스스로도 ‘이건 정확한 조사가 아니다. 대외적으로 사용할 수 없다’라고 말하는 것으로 알고 있다. 금융기관에게 자기들 사고 내역을 보고하라고 해서 취합된 자료만 보고하는 식으로 조사했기 때문이다. 하물며 해당 금융 사고엔 피싱 등도 포함되지 않는다.

영국 등 외국은 투명하게 조사한다. 왜? 국가가 만들어 금융결제 시스템을 강요하지 않았기 때문이다. 생각해봐라. 국가가 만들어서 도입했는데 금융사고가 많이 발생한다면, 정부의 누가 좋아할 것인가? 그렇기에 국내 금융사고 데이터는 100% 신뢰하면 안된다.

하태숙 : 물론 안전을 위해서 규제를 만드는 건 타당하다. 그러나 더 나은 안전을 택하기 위해 방해되서는 안된다. 더 좋은 방법이 있는데 적용하지 못하는 게 문제다.

예를 들어 공식적으로 사고가 덜 났다고 하지만, 스마트폰도 되면서 PC 시대지 않는가. 스마트폰에 맞는 보안 솔루션을 도입할 수록 제도가 발 빠르게 바뀔 필요가 있다. PC에서 적용한 법규를 스마트 기기에 적용하는 것도 문제다.

김기창 : 현존하는 공인인증서 중심의, 클라이언트 인증서 중심의 결제보다는 서버 인증서 중심으로 금융결제 플랫폼이 바뀌어야 한다. 이미 외국은 2000년대 초반 클라이언트 인증서는 사용자 개인 비밀번호를 사용자가 직접 관리해야 한다는 점에서 위험하다고 판단했다.

박영철 : 앞으로 일회용 비밀번호(OTP) 기술이 뜨지 않을까 싶다. 최소한 사용자 환경에서 발생하는 비밀번호 유출은 막을 수 있으니까 말이다.

이지영 : 방향을 바꿔서 클라이언트 보안과 정책과 규정 개선 이전에 소비자 자세는 어떻게 바뀌었으면 하는지 얘기를 듣고 싶다.

박영철 : 일반적으로 하는 얘기가 똑같다. 전자상거래 사이트에선 의심되는 사이트엔 접근하지 말아야 한다. 악성코드 감염이 의심되는지 여부는 소비자는 알 바 없다. 현재 결제 수준에서는 이 정도에서 주의를 해야 한다.

김기창 : 지금 금융기관이 하는, 보안에 위험한 행동은 또 있다. 사용명세서를 첨부파일로 해서 e메일로 보내는 행동이다. 액티브X를 설치해야만 해당 명세서를 읽을 수 있게 만든다. 첨부파일 내려받지 말라고 하면서 왜 첨부파일로 보내는지 이해가 안된다. 이런 상황에서 어떻게 사용자가 안전한 습관을 가지길 원하는가.

하태숙 : 보내는 입장에서는 ‘안전하게 보냈으니까’라고 나로 생각하겠지만, 해커는 충분히 이 과정을 악용할 수 있다.

김기창 : PDF 문서 암호화 방법 괜찮치 않은가. 금융결제 서비스를 한 번에 바꾸기보다는 차츰 안전하게 만드는 게 제일 중요하다.

박영철 : 동감이다. 가장 쉬운 일부터 차츰 확대하는 게 좋지 않을까 싶다. 제도가 좀 더 유연하게 바뀐다면 금상첨화라고 생각한다.

네티즌의견(총 0개)