■불필요한 '강제 보안기준'
26일 금융보안연구원이 내놓은 '해외 주요국 인터넷뱅킹 현황 보고서'에서 미국, 캐나다, 일본, 멕시코 등 세계 주요 14개국 45개 은행의 보안 현황을 조사한 결과 브라질(2곳), 인도(2곳)를 제외한 나머지 12개 국가 41개 은행에서는 전자금융거래를 할 때 공인인증서를 사용하지 않는 것으로 나타났다. 은행 사설인증서를 사용하는 중국 공상은행 등 3곳과 독일 도이체방크 1곳을 포함하더라도 거래시 인증서를 사용하지 않는 곳이 압도적이다.
반면 우리나라는 전자금융거래법을 기반으로 구체화된 규제가 있어서 모든 은행이 동일한 보안기법을 적용하고 있다. 그런데 국내 금융사들이 잇달아 해킹을 당하면서 보안전문가 사이에 이 같은 우리나라 금융당국의 '강제적 보안기준'이 문제란 지적이 일고 있다. 외국은 큰 개념에서 보안가이드만 제시하므로 한 국가 내에서도 여러 금융사가 서로 다른 보안기법을 이용한다. 선진국의 감독당국이 가이드라인 위주의 보안사항을 권고하는 것에 비해 우리나라는 과도하게 규제하는데도 오히려 보안이 취약하다는 분석이다. 실제 최근 해킹기술이 발전하면서 전 세계적으로 기존 인증방식보다는 '해킹방지프로그램' 도입이 확산되고 있는 추세다.
■까다로운 절차 vs. 가벼운 처벌
더욱이 이처럼 까다로운 보안절차에 비해 금융보안 사고가 났을 때 처벌이 너그러운 것은 또 다른 문제로 지적된다. 우리나라는 고객정보가 유출됐을 때 전자금융거래법을 통해 최고 7년 이하의 징역 또는 5000만원 이하의 벌금을 내야 하지만 지금까지 이 같은 과태료 처분을 받은 기관은 없다.
예를 들어 영국 HSBC는 18만명의 고객정보가 평문으로 저장된 CD를 일반우편으로 전송하는 도중 분실한 사고로 인해 영국 금융당국(FSA)으로부터 약 60억원 규모의 벌금을 부과받았다. 국민은행에서 마케팅 담당 직원이 e메일을 보내면서 실수로 상품소개 자료 파일 대신 그 상품에 가입된 고객 명단이 저장된 파일을 첨부해 수만명의 고객에게 전송한 사례, 지난 2009년 국내 모 카드사가 직원용 PC 1400여 대를 교체하는 과정에서 폐기된 하드디스크드라이브(HDD)의 고객정보를 빌미로 금품을 요구한 사례가 있지만 금융기관은 처벌받지 않은 것과 대비된다.
실제 이 같은 환경 속에서도 외국계 금융사들의 보안에 대한 인식은 철저해 우리 금융업체들의 실태를 되돌아보게 한다. 국내 보안업계의 한 관계자는 "한국씨티은행을 비롯한 외국계 금융사들은 해외 본사가 보안정책에 사용되는 비용을 책정해 내려보낸다"면서 "그 선을 최대한 유지하는 외국계와 무턱대고 비용을 깎으려는 우리나라 기업과는 확실히 비교된다"고 털어놨다.
■'땜질식' 보안의식도 문제
전문가들은 모든 네트워크를 막고 필요한 것만 허용하는 '차단 기반의 허용정책'을 사용하는 외국 등 글로벌 기업과 달리 우리나라 기업들은 네트워크를 열어놓고 차단할 것만 차단하는 '허용 기반의 차단정책'을 주로 사용하는 것이 문제라고 지적했다.
보안업체의 또 다른 관계자는 "금융권은 물론 주요 기업에서 사내 보안용으로 메신저나 특정 사이트를 닫아 달라는 요청을 많이 받는다"면서 "삼성전자나 LG전자에서 사내의 모든 PC를 접속자만 쓸 수 있게 해 놓는 것과는 차이가 있다"고 말했다.
그는 또 "네트워크 메신저를 막는 것은 어려운 게 아니지만 결국 땜질에 그친다"면서 "보안솔루션을 도입했으니 이 정도면 됐다는 '무사안일주의' 때문에 이런 사고들이 일어난다"고 따끔하게 지적했다.
한편 금융감독원의 한 관계자는 "최근 글로벌 정합성에 맞춰 직접적인 규제가 많이 완화됐다"면서 "절차적 보안이 과도하다는 지적에 따라 개인인증제도를 완화하는 등의 개정을 논의하고 있다"고 말했다.
김인식 고려대 정보보안대학원 교수는 금융시스템 자체가 아예 다른 만큼 외국의 전자금융 규제를 무턱대고 따라해서는 안 된다고 말했다. 김 교수는 "보안만 볼 것이 아니라 투자 대비 비용이라는 전체적인 손익 관점에서 피해보상을 모두 고려해야 한다"면서 "외국과 문화가 다른 만큼 이를 똑같이 적용해서는 안 된다"고 지적했다.
/mjkim@fnnews.com김명지기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지