금융감독원이 ‘스마트폰 전자금융서비스 안전대책’을 발표했다. 스마트폰이 확산되면서 이를 이용한 금융거래도 활발해질 전망이어서 이에 대한 대비책을 마련한 것이다. 하지만 금감원이 발표한 안전대책이 기존 PC 환경에서 구현됐던 내용들을 그대로 스마트폰에 적용해, 새로운 기술과 흐름과는 동떨어진 대책이 아니냐는 우려의 목소리도 나오고 있다.
금감원은 지난해 12월 초 금감원과 금융회사, 금융정보보호전문기관 전문가로 구성된 ‘스마트폰 전자금융서비스 안전대책 마련 태스크포스팀(TFT)’을 운영해왔다. 이번 안전대책은 스마트폰을 이용한 전자금융서비스의 혁신을 지원하면서 예상되는 잠재적인 보안위협으로부터 고객정보를 보호하겠다는 취지에서 마련됐다. 안전하게 스마트폰 기반 전자금융거래를 하도록 적정한 보안기준을 마련하는데 중점을 뒀다는 것이 금감원의 입장이다.
금감원이 제시한 안전대책은 ① 전자금융거래 부문 ② 기술적 침해대응 부문 ③ 취약점 모니터링 부문 등 3개 분야로 나눠 수립됐다.
전자금융거래 부문은 스마트폰 전자금융서비스 가입 시 다단계 가입자 확인을 거치도록 하고 로그인시 사용자 인증을 강화하는 등 서비스 이용단계에서 이용자의 신원확인을 강화했다. PC 인터넷뱅킹의 전자자금이체시 적용하는 거래인증방법과 보안등급별 자금이체한도를 적용함으로써 PC 인터넷뱅킹과 유사한 보안수준 적용한 것.
이와 관련해 금감원의 한 관계자는 “그동안 일반 피처폰에서 제공해 왔던 모바일뱅킹과는 전혀 다른 접근이 필요했다”며 “스마트폰의 경우 PC와 다름없는 기기이기 때문에 기존 PC에서 제공돼 왔던 수준에 맞는 대책을 마련한 것”이라고 밝혔다.
취약점 모니터링도 강화토록 했다. 금감원은 서비스 제공 금융회사가 정보보호전문기관 등과 협력해 스마트폰 관련 새로운 취약점을 신속히 인식하고 대응할 수 있는 모니터링체제를 구축하도록 했다. 아울러 금감원은 ‘스마트폰 전자금융서비스 안전대책 마련 TF’를 올해에도 계속 운영해 향후 예상되는 보안위협에 범금융권이 공동 대응할 수 있도록 할 계획이다.
기술적 침해대응 부문의 경우 금융거래전 통신구간에서 암호화해 송수신되도록 가이드를 제시했다. 또 비밀번호 등 중요입력정보가 유출되거나 변조되지 않도록 입력정보 보호대책을 적용하고 중요한 금융정보는 스마트폰에 저장하지 못하도록 했다. 바이러스 등 악성코드에 의한 보안위협으로부터 전자금융거래를 보호하기 위해 악성코드 예방대책을 적용하고, 전자서명을 의무화해 고객이 거래사실을 부인하는 것을 방지했다.
즉 공인인증서를 사용토록 하고 키보드 보안도 추가하라고 한 것. 하지만 이 부분에서 많은 문제제기가 이뤄지고 있다. 금감원은 특정 기술을 언급하지 않았다고 밝히고 있지만 심비안이나 윈도우 폰(구 윈도우 모바일), 맥 OS X, 안드로이드 등 다양한 스마트폰 운영체제에 대한 심도있는 이해가 부족했기 때문에 PC에 적용됐던 내용을 그대로 스마트폰에 적용하려는 것 아니냐는 우려섞인 목소리가 나오고 있다. 또 금융거래 시스템 구현 문제가 단순히 금융에만 국한되지 않는데도 불구하고 너무 빠른 결정을 내렸다는 지적도 등장하고 있다.
그동안 PC를 통해 금융 거래를 할 경우에는 해당 사이트에 접속하는 순간 별도의 보안 프로그램이 강제적으로 사용자의 PC에 깔렸고, 키보드 보안 제품도 설치토록 했다. 금융사마다 서로 다른 회사의 제품을 사용하면서 두 세개의 금융사 계좌를 보유한 사용자들은 또 서로 다른 수많은 프로그램을 깔아야 했다.
문제는 여기서 끝나지 않았다. 초기 안전한 금융 거래를 위해 채택된 기술과 공인인증서의 과도한 활용은 웹표준화라는 거대한 흐름에 적절히 대응할 수 없도록 발목을 잡았다. 또 금융권의 비표준 문제는 금융권의 문제만 끝나지 않았다. 다양한 아이디어를 통해 새로운 IT 서비스를 제공할 때마다 사실상 표준이 돼버린 기존 인프라 때문에 기술 선택과 구현의 자유까지도 빼앗아 간 것.
이번 보안 대책이, 발생할지 모를 위험에 대해 선제적으로 대응하겠다는 뜻만큼은 이해된다. 다만, 최근 모 보안 회사가 2010년 주 공격 대상이 윈도우 7과 스마트폰이 될 것이라는 내용이 대대적으로 보도되면서, 좀 더 장기적인 관점에서 논의가 필요했던 스마트폰 보안에 금감원이 조급해진 것 아니냐는 지적도 있다.
아이폰용 뱅킹 소프트웨어를 가장 먼저 선보인 하나은행의 경우 해당 프로그램을 다운받아 설치하면 하나은행 사이트로 이동이 된다. 이후 스마트폰용 인증서를 USIM에 다운로드해 설치하고, 금융거래를 할 때는 이미 발급받았던 보안카드를 활용토록 했다. 또 하나은행은 ‘제일브레이킹’된 아이폰에 대해서는 아예 지원도 안하고 있다. 제일브레이킹된 아이폰은 애플의 정식 루트에 등록된 제품 이외에 별도의 프로그램도 개인들이 선택해 사용할 수 있다.
아이폰 사용자로 하나은행 아이폰용 금용 애플리케이션을 사용하고 있는 한 사용자는 “USIM에 개인정보와 금융정보가 들어가기 때문에 이미 암호화 돼 있고, 이런 상황에서 스마트폰 인증서와 보안카드로 이중 삼중 안전하게 거래를 할 수 있다. 왜 하나은행과 같은 방식을 활성화 시킬 생각은 안하고 PC 분야에 적용됐던 걸 그대로 스마트폰에 적용하려는 지 이해할 수 없다”고 목소리를 높였다.
스마트폰 분야의 한 전문가도 “여전히 유선 보안 시각을 탈피하지 못하고 있는 것 같다. 이미 스마트폰을 활용하고 있는 해외에서도 이번 금감원 의 보안 가이드가 적용된 전례가 없다. 브라우저에서 제공하는 SSL 암호나 별도 결제 서비스들을 통해 거래하는 전세계적인 흐름도 외면하고 있는 것 같아 안타깝다”고 밝혔다.
이와 관련해 금감원 측은 “특정 기술에 대해서는 거론하지 않았고, 해당 가이드만 줬다. 상당히 신중하게 안을 마련했다”는 입장을 밝혔다.
감독 기관으로 ‘안전’에 관심을 가지는 것은 당연한 의무지만 이제 막 싹을 틔우고 있는 스마트폰 시장에 어떤 영향을 줄지 모를 중대 사안에 대해 좀더 여유있고 심도있는 연구가 아쉬운 대목이다.
균형을 맞추는 게 중요하죠.. 저도 많이 생각해 봐야겠습니다. 스마트폰 정책 부분.. 음음.
[...] This post was mentioned on Twitter by 도안구 IT수다떨기 and Zizi Vzin, David. David said: RT @eyeball: 금감원, 스마트폰 금융 안전대책 발표…”시장 왜곡” 우려 목소리도 http://www.bloter.net/archives/22929 [...]
상당히 공감가는 부분입니다.
대부분의 2G폰에서 자유롭게 이용했던 모바일뱅킹을 이미 국내에서
조금씩 바람이 불고있는 스마트폰에서 이용할 수 없다는것은 너무 불편한 일이였는데
하나은행의 발빠른 대처가 아주 반가웠읍니다.
다른 은행들도 곧 따라오리라 믿고는 있는데
그 시기가 언제일지 알 턱이 없는 상황에서 금감원의 소식은 참 시대에 역행하는것임에
틀림없어보이네요,,
전적으로 공감합니다. 결국 스마트폰에서 모바일뱅킹을 사용하지 말라는 거죠. 빠르게 준비한 하나은행과 다르게 지지부진한 다른 은행들이 꼴보기 싫어서 제동건거처럼만 보이네요. 모난돌이 정맞는다고…
갈라파고스 섬을 만드는게 중요합니다. 그래야 외국이 아무리 전자금융이 발달해도 우리나라는 우리나라만의 불편한 방식으로 해야만이 외국 금융사가 우리나라에 들어오지 못하죠. 지하에 계신 대원군도 기뻐하실겁니다. ㅋㅋㅋㅋ 갈라파고스 만세~ 대원군 만세~ MS익스플로러 독점 만세~
TFT가 TASK FORCE TEAM 아닌가? TEST FORCE TEAM????
지적하신 부분이 맞습니다. 수정했습니다. 감사합니다.
한국 IT 관련하여 특히 금감원은 멍청한 정도를 넘어 무식하다!!
어떻게 저 위에 쳐 앉아 있는지가 궁금할 뿐이다!!
니들이 생각하는 그 보안이란 것들이
미국, 선진국 등과 비교시 더 더 뒤떨어진다는 걸 아냐???
사용자는 편하게 사용하기만 하면 되고 (Active X깔필요도 없이)
개발자가 알아서 보안 다 처리할 수 있는데도…
웬 키보드 보안이니… 공인인증이니… 멍청한 소리 해대냐…
정말 한국 정부 짜증난다!!
하는짓은 어쩜 그리도 선진국과 동떨어 지는 거냐???
무식한 것들아!! 모르면 선진국 하는 정책이나 따라 하는지… 쯧쯧…
정말 우리나라 공무원들 왜 저모양인지 답답할 따름입니다.
분명 금감원에서도 높은 직위에 있는것들이 그랬을텐데..에휴
어느자리건 늙고 경직된 고정관념에 사로잡힌 인간들이 문제군요.
배우려고는 안하고 고시대 지식으로 울궈내서 성과만 만들어내서 자리 지키려는
한심한 인간들..
금감원이 아무리 기술적인 이해를 해봤자 몇 업체 담당자에게 피상적으로 확인한 것에 불과할 것입니다. 금감원이 진정 다채널 하이테크 시대에 금융감독을 하고자 한다면 관료주의적 태도를 버리고 먼저 테크니션을 고용하여야 할 것이요.
금감원 의사결정자중에 떡고물 챙긴사람이 목소리 높여서 그런거겠죠. 금감원 IT쪽은 이번에 물갈이해야합니다.
참으로 답답한 정책입니다. 저는 현재 시드니에서 있는데 그런 복잡한 절차 없이 아주 간편히 Iphone으로 인터넷뱅킹 잘하고 있습니다. 정부에 정책대로라면 여기서의 스마트폰 인터넷뱅킹 환경에 아주 큰 문제가 있는거 아닌가요?? 참으로 안타깝습니다. 시대에 흐름에 역주행하는 정책… 정부에 이런 정책들이 얼마나 많은 중소기업을 움직이게 하는데 말입니다.
금감원이 뭐하는 곳인가?
보안에 대해서 뭘 알고나 떠드는가?
결국 돈 받아먹고 업체들 밀어주는 억지규정만 만들어 낼 뿐이다.
손 떼고, 전부 소비자의 자율에 맡겨라.
똑 같은 기능을 하는 프로그램을 수십개 깔면 보안에 도움이 된다고?
문고리 하나에 열쇠 백개 달면 튼튼해 지냐?
왜 내 개인 소유의 CPU, 메모리, 전기, 시간을 너한테 강제로 빼앗겨야 하느냐?
제대로 거꾸로 가고 있네요
알아서 은행이나 증권사들이 잘 할텐데 쓸데없는 규제를 하고
특정 기술 사용을 강요하네요
키보드 보안 프로그램이 악성 코드지 그게 보안프로그램입니까;;
시즈하의 생각…
저도 굉장히 궁금해졌습니다. 대체 어떤 멍멍이들인지… JEEN_LEE님: http://www.bloter.net/archives/22929 // 정말로 금융정보보호전문기관 전문가들 이름 좀 알고싶다. 그들 약력도 포함해서……