"국가가 어떤 기술이나 방식을 의무화하는 순간 기술 발전은 중단되고 금융기관은 보안강화 노력에 더 투자하지 않게 된다. 정부가 보안에 대한 기술경쟁을 조장하고 이용자의 선택 폭이 커지면 보안 수준은 지금보다 더 많은 향상을 이룩할 수 있다."

브루스 슈나이어 영국 브리티시텔레콤 최고 보안 전문가가 한국 정부에 던진 따끔한 충고다. 브루스 슈나이어 박사는 세계적인 컴퓨터 보안 전문가이자 암호학 연구자다. 미국 국방성과 벨 연구소에서 일하며 '블로우피시'(Blowfish) 등 다수 암호 알고리즘 개발에 참여했으며 유명 보안 서적도 여럿 출간했다.

슈나이어 박사를 비롯해 해외 보안 전문가들을 초청한 '한국 전자금융거래 보안 기술 특별 강연회'가 4월29일 서울 코엑스에서 열렸다. 해외 보안 전문가들이 국내 인터넷뱅킹 보안과 전자결제 시스템에 대해 어떻게 바라보고 있는지 엿볼 수 있는 행사였다.

이날 행사에서 기조 강연자로 나선 슈나이어 박사는 안전한 인터넷 거래를 위해선 무엇보다 이용자 보안 의식을 높이는 게 중요하다는 견해를 밝혔다. 슈나이어 박사는 "암호학은 수학에 기초를 두고 보안 알고리즘을 만드는 수단일 뿐, 암호학이나 보안시스템이 보안 안전성 전부를 보장하는 것은 아니다"라며 "전자결제에서 본인 인증은 만능이 아니며 거래 인증이 더욱 중요하다"고 지적했다.

또한 "성공적인 보안을 위해서는 암호학과 브라우저 등의 기술적인 면도 중요하지만, 궁극적으로는 이용자 보안 의식이 함께 연계됐을 때 더 완벽한 보안체계를 제공할 수 있다"고 이용자 보안 의식 강화 노력이 병행돼야 할 것임을 지적했다.

허준호 옥스포드대 연구원과 김형식 캠브리지대 연구원도 비슷한 견해를 밝혔다. 두 연구원은 지난 2월 옥스포드대에서 발표한 ‘한국 인터넷뱅킹 보안에 관하여’라는 논문을 영국의 권위 있는 인터넷뱅킹 보안 전문가인 캠브리지대 컴퓨터랩의 로스 앤더슨 교수와 공동 집필했다.

두 연구원은 이번 강연에서 한국 전자금융거래 보안의 기술적 특성을 분석하고 장·단점을 제시해 눈길을 끌었다. 두 연구원은 "두 연구원은 복잡한 기술이 보안을 보장하는 것이 아니며, 소프트웨어 인증서는 보안의 한계가 있고 안티 바이러스 프로그램은 멀웨어 탐지율이 20~40% 수준에 머물고 있을 뿐"이라고 기술적 보안 만능주의를 경계했다.

마지막 발표자로 나선 루카스 아담스키 파이어폭스 보안 총책임자는 웹브라우저를 안전하게 이용하기 위해 웹 개발자들이 쓸 수 있는 다양한 기술을 소개하고, 이를 한국에서 사용되는 접근 방법과 비교하는 데 초점을 맞췄다.

그는 "한국에서는 서버 인증이 제대로 되지 않고 있으며, 서버 명칭과 보안 플러그인을 서명한 사람 사이에 아무런 연관이 없어 이용자가 안전성을 확인할 수 없는 것이 문제"라고 국내 웹브라우저 플러그인 인증 방식의 문제점을 꼬집었다.

루카스 아담스키는 그에 대한 대안으로 "https처럼 보안성이 향상된 웹사이트를 이용할 수 있도록 다양한 선택 기회를 제공해야 한다"라고 지적하며 "이를 위해서는 브라우저 내장형 SSL이 바람직한 형태가 될 것으로 보이지만, 운영체제나 웹브라우저 선택이 불가능한 독점 형태로 구성된 한국 웹 환경은 이런 점에서 매우 취약성이 있는 것으로 보인다"고 특정 OS와 웹브라우저만 지원하는 국내 인터넷뱅킹 환경의 문제점을 지적했다.

특히 브루스 슈나이어 박사가 마지막 질의응답 시간에 밝힌 의견은 국내 인터넷뱅킹 정책당국이 곱씹어 볼 만 하다. "단순한 신용카드 시스템이 현재 온라인 시스템보다 더 보안이 유리한 점이 있다는 사실에 주목할 필요가 있다."

이번 특별강연회를 주관한 기업호민관실 이민화 호민관은 "이번 강연회를 통해 지난 10년간 공인인증서와 보안 플러그인에 의존해온 국내의 독특한 보안 기술 경향에 대한 근본적 재검토를 통해, 기존의 단일기술 강제화 방식에서 벗어나 다양한 보안기술의 발전을 촉발하는 방향으로 전자금융거래 보안방식이 개선되기를 기대한다"라고 밝혔다.

boan_conf

저작권자 © 블로터 무단전재 및 재배포 금지