트렌드

모바일 금융 거래, ‘플러그인 뱅킹’ 되기 전에…

2013.06.12

“그런데 바로 삭제했습니다.”

최근 안드로이드OS 기반 스마트폰으로 바꾼 선배는 페이스북에 올린 모바일 전자지갑 사용 후기에 이렇게 적었다. 모바일 전자지갑이란 게 사용하기에 썩 편하지 않았던 모양이다. 이 선배는 각종 보안 프로그램 설치를 강요하는 앱에 짜증을 냈고, 곧바로 앱 삭제로 이어졌다. 아마도 이 선배는 다시는 모바일 전자지갑 앱을 내려받지 않으리라.

스마트폰 사용자가 3천만명을 넘어서면서 모바일 전자금융 시대가 열렸다. 국민은행, 기업은행, 농협, 우리은행, 하나은행 등 금융사마다 앞다퉈 모바일 앱을 출시했다. 카드사와 통신사 사정도 마찬가지다. 멤버십 포인트를 적립할 수 있는 서비스부터, 모바일 신용카드를 내려받아 결제할 수 있는 기능까지 담은 다양한 모바일 전자지갑이 등장했다.

그런데 진정한 모바일 전자금융 시대가 열리기까지는 갈 길이 멀어 보인다. 공인인증서, 가상키보드, 백신프로그램 등 PC와 마찬가지로 모바일 기기에도 영문도 모른채 각종 플러그인을 설치해야 하는 ‘불편함’ 때문이다. 윈도우와 인터넷 익스플로러(IE) 중심에 각종 플러그인으로 도배된 PC 인터넷 금융 환경이 모바일로 고스란히 이어질 조짐이다.

mobile app banking

▲국민은행(왼쪽)은 ‘알 수 없는 소스’를 체크해야, 우리은행(오른쪽)을 비롯한 국내 금융 앱은 백신프로그램을 설치해야만 원활하게 금융앱을 사용할 수 있다. 모두 안드로이드용 앱에만 한해서다. 

현재 국민・기업・농협・신한・우리은행 등 국내 은행들이 내놓은 앱을 구글플레이에서 내려받으면, 보안프로그램도 의무적으로 함께 딸려 온다. 금융 앱을 내려받고 난 뒤 모바일 보안 프로그램을 설치하지 않으면 앱을 사용할 수 없다. 내려받은 앱으로 금융 거래를 하려면 공인인증서 플러그인을 추가로 설치해야 한다. 은행에 따라서는 비밀번호 입력시 가상키보드 앱 설치를 권유하는 곳도 있다. 모바일 금융 서비스를 제대로 이용하려면 최소한 2개 이상의 플러그인을 설치해야 한다. ‘전자금융감독규정’ 때문이다.

전자금융감독규정 제37조는 모든 전자금융거래에 있어 ‘전자서명법’에 의한 공인인증서 또는 이와 동등한 수준의 안정성이 인정되는 인증 방법을 사용하도록 규정하고 있다.

공인인증서에 그치지 않는다. 전자금융감독규정 34조 전자금융거래시 준수사항 제2항 3을 살퍼보면 “해킹 등 침해행위로부터 전자금융거래를 보호하기 위해 이용자의 전자적 장치에 보안프로그램 설치 등 보안 대책을 적용할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램을 해제할 수 있다)”이라고 명시돼 있다. 요컨대, 공인인증서나 그와 ‘동등한 수준’의 인증방법을 제공하고, 여기에 보안 프로그램도 추가로 제공해야 한다는 뜻이다. 모바일 금융서비스 이용자가 입구에서부터 PC에서처럼 플러그인부터 설치해야 하는 이유가 여기에 있다.

플러그인을 설치하는 과정도 썩 미덥지 못하다. 예컨대 국민은행 모바일 뱅킹 서비스를 보자. 국민은행 앱 ‘KB스타뱅킹’을 설치하려면 우선 구글플레이 스토어에서 ‘KB스타뱅킹 설치’ 앱을 내려받아야 한다. 이 앱을 이용해 ‘KB스타뱅킹’ 앱을 설치하려면 스마트폰 환경설정 메뉴에서 ‘애플리케이션→설정’에서 ‘알 수 없는 소스’를 선택해야 한다. 앱 설치파일만 구글플레이 등 검증된 출처에서 내려받을 뿐, 실제 은행 앱은 배포처를 알 수 없는 곳에서 받도록 하는 꼴이다. 이용자 보안 위험을 부추기는 방식이다.

보안 플러그인을 적용하는 대상도 제각각이다. 안드로이드OS에선 위와 같은 보안 플러그인을 여럿 설치해야 하지만, 아이폰이나 아이패드 같은 iOS 기기에선 보안 프로그램 설치 과정 없이 금융 앱만 내려받으면 된다. 이대로라면 iOS 기반 금융 앱은 전자금융감독규정 34조 항목을 위반하는 셈이다.

일관성 없는 모바일뱅킹 보안 정책은 모바일 전자지갑에서도 엿보인다. 가상화폐나 바코드 결제를 내걸고 있는 모바일 전자지갑도 금융거래 앱처럼 모바일 전자금융거래에 속하지만, 보안 서비스를 제공하는 방식은 제각각이다. ‘삼성월렛’은 ‘드로이드엑스안티바이러스’란 보안 프로그램 설치를 의무화하고 있지만, 하나은행 ‘하나N월렛’이나 SK플래닛 ‘스마트월렛’은 보안 프로그램 대신 PIN 번호로 본인 확인을 거친다. 업계 관계자는 “모바일 보안을 제공하는 방식은 각 업체마다 다른 것으로 알고 있다”라며 “앱 심의를 통과하는 데는 문제 없었다”라고 말했다. 이는 “스마트폰에서 제공하는 앱도 해킹 방지를 위한 서비스를 제공해야 하기 때문에 백신 프로그램과 같은 보안 프로그램을 설치해야 할 의무가 있다”라는 금융위원회의 설명과 배치된다. 이같은 상황에 대해 금융위원회는 아직 제대로 된 설명을 내놓지 않고 있다.

해외 은행을 살펴보면 별도의 플러그인 없이 ‘https’ 프로토콜을 활용해 신뢰할 수 있는 보안 방식으로 앱과 금융서버가 정보를 주고받는다. 스탠다드차타드 은행의 앱만 살펴봐도 한국을 제외한 홍콩, 말레이시아 등 해외에서는 앱을 내려받은 뒤 로그인 절차만 거치면 되도록 했다. 유독 우리나라, 그것도 안드로이드용 앱에서만 보안 플러그인을 내려받아야 하는 까닭은 무엇인가.

현재 국내에선 ‘공인인증서 의무화 폐지’ 움직임이 커지는 분위기다. 민주당 이종걸·최재천 국회의원은 오픈넷과 손잡고 ‘공인인증 의무화 폐지’를 목표로 한 ‘전자서명법 전부개정법률안’을 5월23일 발의했다. 이 법안은 6월12일 국회 미래창조과학방송통신위원회에 상정됐다. 개정안이 제대로 국회에서 통과된다면, 플러그인 없는 인터넷·모바일뱅킹 시대를 기대해 봐도 좋지 않을까.

izziene@bloter.net

뭐 화끈하고, 신나고, 재미난 일 없을까요? 할 일이 쌓여도 사람은 만나고, 기사는 씁니다. 관심있는 #핀테크 #클라우드 #그외 모든 것을 다룹니다. @izziene