스마트폰 뱅킹, 제도적 카르텔 선결해야

작년 12월 제 블로그에서 한국 인터넷 뱅킹 포기 선언 이후에 꽤 많은 변화가 있었습니다.

국내에서 석달 만에 아이폰이 30만대 이상 팔렸고, 기업들이 나서서 아이폰 기반 인터넷 뱅킹과 온라인 카드 결제 애플리케이션 및 서비스를 잇달아 내 놓았습니다. 이에 반해 금융감독원은 아이폰 등 스마트폰에서는 PC에 준하는 보호 조치를 취해야 한다는 가이드라인을 내 놓으면서 수 많은 뉴스 및 여론의 질타를 받았죠.

상황이 이렇게 되니, 또다시 이 문제를 해결해 보겠다는 정부 각처의 Newbie들이 대책 회의를 잇달아 하면서 마치 해결해 낼 것 처럼 또 언론 플레이를 하더군요. 지난 8년간 이 문제를 해결 하겠다고 나선 행정 부처와 산하 기관들은 엄청 나게 많았고, 모두들 립 서비스만 한채 제도적 기술적 카르텔이라는 문제의 실체에 접근만 했을 뿐 실질적인 결과는 보여 주지 못했습니다.

얼마전 부터 미래위, 방통위, 공정위, 행안부, 지경부 일부 조직에서 또 문제를 해결해 보겠다고 나서고 있는데 결국 부처간 이기주의와 업무 영역 문제를 이기지 못하고 그냥 미봉책 몇 개만 남기지 않을까 염려가 됩니다.

법적 제도적 카르텔 들여다 봐야
우선 이 논의에 들어서는 분들에게 먼저 알려 드려야 할 것은 이제 이 문제는 “기술”이 아니라 바로 뿌리 깊은 “법적 제도적” 카르텔이 존재한다는 점입니다. 아래 도표는 우리 나라의 액티브X 문제 저변에 있는 각종 법적 규제들입니다.

1998년 일명 PKI법이라 할 수 있는 ‘전자 서명법’이 통과되고, 이를 기초로 공인 인증 제도가 도입됩니다. 사실상 킬러 서비스라 할 수 있는 금융거래에 공인 인증서 사용을 사실상 강제합니다. 이런 행위가 법령에 근거가 없이 행정지도로 이루어지고 있어서, 2006년 ‘전자금융거래법’을 제정할 때 공인 인증서 항목을 법 규정에 넣게 되죠.

따라서 그 하위의 금감원 감독 규정에 따라 공인 인증서 사용은 필수가 되고 전자서명법상 기술 규격에 의해 사실상 플러그인 기술로만 공인 인증 서비스가 이루어 질 수 밖에 없는 현실이 고착화 됩니다. (구)정보보호진흥원은 내부 규격이 특정 기술을 강제하지 않고 있다지만 사실상 액티브X 플러그인만 선택하도록 할 뿐입니다.

전자 금융 거래 감독 시행 세칙에는 키보드 보안, 침입 차단, 안티 바이러스 같은 소프트웨어를 의무적으로 제공하게 되어 있고, 고객 선택권이 명시되어 있어도 금융 사고 시 입증 책임 때문에 대부분 금융 기관들은 선택권을 제공하지 않습니다.

금감원만 탓할 게 아니다
자! 이런 상태에서 누가 법적 규제를 풀 수 있겠습니까? 게다가 상대는 자칫 건들었다가는 통째로 책임져야 하는 금융 거래 보안에 관련된 사안인데 말이죠. 보안 산업 보호을 위해 스스로 매듭을 만든 국내 보안 업체들이 풀수 있는 상황도 아닙니다.

법으로 사실상 특정 기술이 강제된 현상에서 이게 국가 기관이 아닌 민간 업체들이 스톡홀더로 참여하다 보니 이를 정부 혼자 나서서 풀 수 없는 상태가 된 것입니다. 공인 인증 업체, 금융 기관, 보안업체 등 산업 전반에 수술을 가해야 하는 상황이니 정부가 손쓸 수 있는 대상이 아닙니다. 게다가 공인 인증과 이에 연관 산업은 우리 나라 보안 업계를 거의 먹이다시피 해 오고 있기 때문에 이해 관계가 엄청 나게 많지요.

‘스마트폰 뱅킹 가이드라인’ 덕분에 여론의 뭇매를 맞고 있는 금감원만 해도 억울한 점이 많습니다. 기존의 윈도우 모바일폰에서는 공인 인증서를 사용해서 서비스를 해 왔기 때문에 그에 준하는 스마트폰에 PC 수준의 보안을 요청하는 건 어찌보면 당연한 일이니까요.

게다가 금융 기관들이 범위를 정해 공인 인증 예외 적용을 요청하면 금감원장은 서비스를 하게 허가해 주며, 피처폰에서 인기를 끈 VM뱅킹이 그런 방식으로 진행되어 왔습니다. 작년 부터 뜻 있는 사람들이 모여 만든 “오픈 뱅크안” 역시 은행들이 나서서 예외 적용을 통해 기존의 문제를 풀어 보도록 요청하는 소비자 운동입니다.

결국 연착륙은 불가능한가?
스마트폰에서 인터넷 뱅킹 이슈는 PC상의 문제의 연장 선상에 있습니다. 이 문제는 기존의 PC에서 비윈도, 비IE 사용자의 문제와 유사하게 다뤄져야 합니다. 개인적으로 수 년간 파이어폭스 사용자와 웹 표준 기술자를 대변하면서 각종 대책 회의, 기술 회의, 컨퍼런스를 뛰어 다녔는데 이는 우리 사회 전문가들이 이 문제를 슬기롭게 해결 할 수 있다는 믿음 때문이었습니다.

2004년부터 작년까지 (구)정통부(지경부), (구)행자부(행안부), KIPA, KISA, KADO에서 만났던 많은 정부 부처, 보안 업계, 브라우저 업체 및 웹 개발자들과 그나마 공감대를 이루는 이야기가 현 기술 및 법적 체제를 당장 바꿀 수 없으니 비 윈도/비 IE를 위한 기술 혹은 인증 수단을 제공해서 시도해 보고, 이 방법의 효용성이 인정 되면 확대 해보자는 “단계적 연착륙” 방식 입니다.

이 방식은 결국 예산에 막히거나 또다른 플러그인 기술을 써야 하는 딜레마에 빠지거나 플러그인이 아니면 아예 해결 자체가 불가능해 막다른 골목에 도달 합니다.

저도 작년 부터 오픈 뱅크를 준비하면서 공인 인증 체제 자체에 의문을 제기하고 구조 자체를 바꾸지 않으면 해결 되지 않을 것 같다는 생각을 하게 되었습니다. 이와 똑같은 문제 제기는 이미 한국 마이크로소프트의 김국현님이 수년 동안 칼럼을 통해 주장해 오고 있는 것입니다.

따라서 우리는 이제 공인 인증이라는 인식의 틀에서 한발짝 물러 나서 아이디어를 꺼내 봐야 할 때가 됐습니다. 공인 인증서도 PC에 저장하는 게 위험한 세상이 됐고, 이는 금융 보안 연구원이 최근 발행 한 해외 인터넷뱅킹 보안현황 조사보고서 상의 사례들을 보더라도 그렇습니다.

선결 과제들
지금까지 경험을 토대로 실질적인 문제 해결을 위한 규제 개혁 선결 과제 몇 가지를 제안해 보고자 합니다. 우선 국회의원과 금융 위원회 등 정부 부처에서는 법규 강제 규정을 없애고 금융기관의 선택권을 늘려야 합니다.

  1. 전자 금융 거래법 제21조 (안전성의 확보의무) ③금융감독위원회는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 「전자서명법」 제2조제8호의 공인인증서의 사용 등 인증방법에 대하여 필요한 기준을 정할 수 있다. 에서 “「전자서명법」 제2조제8호의 공인인증서의 사용 등 ” 규정을 삭제한다.
  2. 전자 금융 감독 규정에서 공인 인증서 사용 강제 규정을 삭제하고 감독원장이 정하는 기준에 한해 전자 금융 거래를 허가할 수 있도록 한다.
  3. 기존의 전자 금융 거래 보안 등급에서 공인 인증서를 제외할 경우의 보안 등급을 새로 정한다.예) 1등급: SSL아이디+보안카드+OTP발생기+2채널인증, 2등급: SSL아이디+보안카드+OTP발생기+SMS통보, 3등급: SSL아이디+보안카드+OTP발생기. 스마트폰의 경우, 단말기 고유번호 등록 등.

국회의원과 행정안전부는 14년이 넘은 낡은 전자서명법에 대한 손을 봐야 합니다. 공인 인증 체제에서 인증 수단의 다양화, 사설 인증 및 해외 인증 기관 진입 보장, 외산 인증 제품 진입 보장을 통한 경쟁 체제로 유도해야 합니다.

  1. 전자서명법을 “공인 인증 관리법”으로 바꾸고, 기존 PKI 방식 뿐만 아니라 OTP 방식, 지문 및 홍채 인식 등 다양한 인증 방법을 공인 인증 기술로 추가 한다.
  2. 기존 기술 규격인 국제적 수준의 암호 및 인증 기술로만 가이드라인을 만들어 기존 웹 브라우저 탑재 기능이나 해외 인증 업체의 크로스 브라우징 기술이 진입 가능하게 한다.
  3. 사실상 SEED나 ARIA로 강제되어 있는 암호 기술 규격 및 국정원의 국가 기관 암호 제품 심사 규격을 완화하여 외산 제품들도 자유로이 경쟁 할 수 있도록 한다.

여기서 제안한 방법은 공인 인증 체제를 완전히 대체하거나 무너뜨리려는 것이 아니라 선택 가능한 대안을 포괄할 수 있도록 규제를 완화하지는 것입니다. 기존 체제와 대안 체제가 공존하고 경쟁할 수 있도록 만들어 주어야만 우리 나라 현업 공무원, 웹 개발 업체, 보안업체, 금융 기관, 카드사, 쇼핑몰, 통신사 등이 지혜로운 해법을 만들어 낼 수 있을 겁니다.

- ;

Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. 본 채널은 광고를 비롯 어떠한 수익도 창출하지 않습니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on checking facts for your investments and prohibit your citations as commercial content or news sources. This channel does not monetize via any advertising.)

여러분의 생각 (6개)

  1. gsong의 생각…

    스마트폰 뱅킹, 제도적 카르텔 선결해야 :: Channy’s Blog…

  2. kenu 댓글:

    좋은 글 감사합니다. 똑똑한 분들의 암울한 결정이 더는 없었습니다. 그간 살림 좀 나아진 소수의 보안업체들 개발자을 위해서 사회 환원 좀하시면 좋겠습니다.

  3. mrkiss 댓글:

    인증서는 보안카드를 가지고 있고 주민등록번호 비밀번호 계좌번호 등을 입력하면 받을 수 있습니다. 온라인 뱅킹을 해킹하려면 기본 적으로 주민등록번호와 비밀번호 계좌번호 등은 어떤 수를 쓰든 알아내야 합니다.
    각종 번호들이 해킹으로 뚫린 후라면 보안카드만 있으면 인증서도 받을 수 있기 때문에 최종 보호막은 보안카드이며, 보안카드가 뚫리면 인증서는 무용지물입니다.
    보안을 위한 방어막을 두개를 둔다면 두개는 서로 관련성이 없어야 두개를 쓰는 의미가 있는 것입니다. 인증서는 보안카드가 있으면 바로 받을 수 있는 것이기 때문에 아무런 존재의 의미가 없습니다.

    그렇게 의미가 없는 것을 하나 더 두고 “방어막 하나 보다는 두 개가 더 안전 않느냐?” 라고 반문 한다면, 그 사람을 우리는 뭐라고 불러야 할까요?
    인증서는 보안카드가 있으면 발급받을 수 있는 보안카드에 종속된 방어 수단입니다. 외국에서 보안카드를 안쓰는 이유가 되겠죠. 아주 간단하고 단순한 이유입니다.

    인증서의 의미는 은행의 서버를 사용하지 않고도 개인인증을 할 수 있게 해줄 수 있다는데 의미가 있습니다. 또 하나, 우리니라는 식별번호인 주민등록번호를 비밀번호로 오용하고 있습니다.

    성인 인증이나 제한적 본인 인증등의 개인인증은 비밀번호로 인증되어야 함에도 불구 하고 식별번호인 주민등록번호와 이름만 넣으면 본인임을 믿어 줍니다. 이 무슨 얼토당토 않은 상황입니까?

    인증서는 현재 존재하고 있지 않은 상거래 및 공공부문에서의 개인인증 수단 될 수 는 있겠지만, 브라우저의 표준화된 인증서 관리 기능으로 구현되어야만, 온라인 뱅킹에서의 이 지옥 같은 상황을 더 반복하지 않겠죠. 그나저나 스마트폰 브라우저에서도 인증서 사용이 가능하긴 한건지 모르겠군요. 그냥 보안카드를 개인인증 수단으로 사용하는 것도 좋을 것 같구요

  4. 온라인뱅킹과 인증서와 주민등록번호의 삼각관계…

    인증서는 보안카드를 가지고 있고 주민등록번호 비밀번호 계좌번호 등을 입력하면 받을 수 있다. 온라인 뱅킹을 해킹하려면 기본적으로 주민등록번호와 비밀번호 계좌번호 등은 어떤 수를 쓰든 알아내야 한다. 각종 ‘비밀’ 번호들이 해킹으로 뚫린 후라면 보안카드만 있으면 인증서도 받을 수 있기 때문에 최종 보호막은 보안카드이며, 보안카드가 뚫리면 인증서는 무용지물이 된다. 보안을 위한 방어막을 두 개를 둔다면 두개는 서로 의존성이 없어야 두 개를 쓰는 의…

  5. 어디선가 댓글:

    모든 문제에는 두 접근방법이 유효하다.

    1. 낙관적 접근 방법 :-> 문제가 발생하면 일정 이하의 문제에 대해서는 보험으로 처리하고 그 이상의 문제에 대해서는 수사.재판을 통해 해결한다. 대체로 비용이 싸다.
    2. 비관적 접근방법 :-> 문제 발생 자체를 아예 차단하고자 한다. 대체로 비용부담이 크기에 선택하지 않는 방법이다.

    과연 어떤 방법이 좋은 것이냐 하는 것은 발생비용과 비용부담을 누가 하느냐에 있다 할 것이다. 구미에서 낙관적 접근 방법이 유행하는 것은 그것이 경쟁력이고 비용부담에 있어서 싸기 때문이라 생각된다.
    그런데 이런 접근 방법에 대한 체계적인 연구도 없으니 갑론을박할 수 없고 각국의 방식 또한 1과 2 사이의 어떤 균형을 취하고자 하는 것으로 알 수 있다. 그러나 이 나라에는 비관적 접근방법 아예 모든 문제를 예방하겠다는 목표를 세웠는데 이것이 너무 극단적인 양태를 띄게 되었다는 것이다.
    이런 비관적인 접근방법이 어째서 이 나라에 뿌리내렸는가!
    원래 이런 비관적인 법근방법은 비용이 많이 들고 또 완전하지 않기에 이 나라에 쉽게 정착하기 힘든 방법인데 이 나라에서는 뭐든 사후적으로 해결하지 않던가! 왜냐 그것이 싸게 먹히기 때문이다.

    그런데도 어째서 이런 비관적인 접근방법이 횡횡하게 되었을까!

    사실 독자프로토콜은 초기브라우저의 한계로 인해 개발되었는데 이것이 시발점이다. 그런데 이런 한계가 사라졌음에도 애국마케팅,자국보호라는 명분으로 이들은 살아남았다. 이들이 살아 남은 원군이 바로 전자서명이라는 것이고 전자서명은 자연스럽게 윈도우의 속성상 키보드보안/방화벽 그래서 프로그램 다운로드->독자프로토콜서버 라는 생태계를 형성하게 되었다. 그들은 이 짓거리로 번영을 누렸다. 그리고 또 한가지는 이 나라 소프트웨어 업체들의 비련 즉 갑과을 관계를 역전시키며 정부/공공 기관을 가르치는 위치에 오르게 되었다. 그들은 이들 정부/공공 기관을 을의 위치가 아니라 갑의 위치를 향유하면서 이렇게 하세요/저렇게 하세요 하는 아니면 읍박지르는 지경에 이르른 것이다. 이 나라 소프트웨어 개발업자들의 비원을 이룬 것이다. 정말 대기업이 아닌 중소기업으로 독자프로토콜 서버 모듈과 인증서라는 이 무기만으로 그들은 이 나라의 학계/정부/금융 또 매년 나타나는 금감원신삥들 모두를 휘어잡은 것이다. 여기에 박수를 쳐야 하는 것은 마땅하다. 속으로 .신하지만 실생활에서는 공생관계이기에.. 이미 이들은 권력에 이르렀다. 그리고 공용프로그램 운운하며 새 먹거리를 찾아 그 억제할 수 없는 탐욕에 게거품을 드러내고 있다.

  6. 시골한의사 댓글:

    좋은 글 감사합니다. 늘 관심있게 보던 주제인데 정말 정리를 잘해주셨군요.