[잇츠IT] 인터넷은행에 맡긴 내돈, 안전할까

박흥순 기자 | 2017.09.13 05:56

2017년 대한민국은 인터넷전문은행 전성시대다. 케이뱅크가 지난 4월 출범하면서 인터넷은행시대를 활짝 열었고 이어 7월에는 카카오뱅크가 고객을 끌어모으며 인터넷은행의 전망을 밝혔다.

인터넷은행은 기존 시중은행과 달리 오프라인 영업점이 없다. 은행을 방문해 창구에서 직원을 마주하지 않고도 금융거래를 할 수 있는 게 인터넷은행의 특징이자 강점이다.

기존 은행의 복잡한 거래방식과 인증방식에 질린 이용자들은 인터넷은행의 간편함에 끌려 앞다퉈 계좌를 개설했다. 지난 8월 현재 케이뱅크의 계좌개설 건수는 46만좌, 카카오뱅크는 307만좌로 총 353만좌를 기록했다. 특히 출범 한달이 갓 지난 카카오뱅크의 실적이 놀랍다. 카카오뱅크는 체크카드 발급 216만장, 예·적금 등 수신액 1조9580억원, 대출 등 여신 1조4090억원에 달하는 폭발적인 성장세를 보였다. 하루 평균 454억원을 빌려주고 631억원을 유치한 셈이다.

여기서 한가지 의문이 든다. 하루 수천억원이 오가는 인터넷은행의 보안은 과연 안전할까.




◆5㎜ 보안칩이 '해킹 차단'

지난달 L.POINT 리서치플랫폼 라임이 시민 1만명을 대상으로 ‘인터넷전문은행에 대한 우려점’을 설문조사한 결과 응답자의 절반에 가까운 44.8%가 ‘개인정보 유출사고’를 걱정하는 것으로 조사됐다. 하지만 이는 기우에 불과하다는 게 전문가들의 입장이다.

국내 1호 인터넷은행인 케이뱅크는 기존의 공인인증서를 그대로 사용한다. 케이뱅크가 자랑하는 서비스인 ‘퀵송금’은 계좌번호를 알지 못해도 계좌이체를 실행할 수 있다. 하지만 공인인증서는 필수적이다. 업계 한 관계자는 “케이뱅크는 시중은행과 같은 보안솔루션을 제공한다”며 “오프라인 영업점이 없어 고객이 더 불안함을 느끼는 것”이라고 말했다.

반면 카카오뱅크는 기존 금융사들이 사용하던 공인인증서 대신 자체 개발한 사설인증서를 사용한다. 금융거래 초기 사설인증서를 스마트폰에 저장한 후에는 간단한 본인인증 절차만 거치면 금융거래를 할 수 있다. 안티키로거, 방화벽 등의 보안프로그램을 추가로 설치할 필요도 없다. 이에 이용자 대부분은 보안프로그램 없이 사설인증서를 사용하는 카카오뱅크가 보안에 취약할 것이라고 생각한다. 하지만 전문가들은 오히려 사설인증서가 공인인증서보다 해킹이 어렵다고 말한다. 보안파일이 저장되는 경로가 달라서다.

기존의 공인인증서는 스마트폰이나 PC의 주기억장치 혹은 보조기억장치에 저장된다. 쉽게 말해 하드디스크(HDD)나 SSD, USB에 저장된다는 말이다. 하지만 카카오뱅크의 사설인증서는 스마트폰의 하드웨어 기반 보안칩에 키를 저장하는 구조다. 가로세로 약 5㎜ 크기의 보안칩은 지문, 홍채 등 생체정보를 저장하는 안전한 공간으로 스마트폰의 이상 여부와 데이터 훼손 여부가 실시간으로 체크된다.

보안업계 관계자는 “공인인증서는 인증서 자체의 보안문제는 없지만 저장된 장소가 해킹에 취약해 정보 유출사고가 빈번하게 일어났다”며 “반면 보안칩에 사설인증서를 저장하면 해커가 정보를 저장한 키에 접근하는 것이 사실상 불가능에 가깝다.

◆명의도용 문제 해결해야

아울러 생체인증방식의 존재도 인터넷은행의 보안을 돕는다. 인터넷은행은 오프라인 영업점이 없는 탓에 대부분의 거래를 스마트폰에 의지할 수밖에 없다. 기존 은행창구의 역할을 스마트폰의 생체인증이 대신하는 셈이다.

생체인증은 다른 사람과 구분되는 생체정보를 자동으로 분석해 개인의 신분을 확인하는 기술로 지문, 홍채, 정맥, 안면 등 개개인 고유의 신체적 특징을 이용한다. 지문의 경우 다른 사람과 일치할 확률이 약 1000만분의1이며 홍채는 5억분의1이다. 열손가락이 모두 같을 확률은 640억분의1에 달한다. 제3자가 스마트폰의 보안솔루션을 뚫고 보안칩에 침입하는 것도, 생체인증방식을 해킹하는 것도 사실상 불가능하다.

그럼에도 보안사고는 계속 발생한다. 최근 자신도 모르는 사이 인터넷은행의 계좌가 개설되고 심지어 대출까지 됐다는 신고가 접수됐다. 왜 이런 사고가 발생했을까.

업계에 따르면 대부분의 신고는 배우자, 손자, 자녀 등이 계좌를 개설하거나 소액대출을 받은 사례로 조사됐다. 해킹 등 기술적인 침입이 아닌 인증과정에서 발생한 명의도용 사례라는 얘기다. 인터넷은행 한 관계자는 “이번 사례는 고객정보 보안시스템의 문제가 아니라 관련 정보를 이미 알고 있는 사람들이 명의를 도용한 것”이라며 보안솔루션에는 문제가 없다고 밝혔다.

일각에서는 100% 비대면 본인인증방식을 보완해야 한다는 의견이 나온다. 금융보안업계 한 관계자는 “금융보안에 대한 우려가 커지는 가운데 가장 걱정하는 대목이 비대면 거래를 악용한 명의도용”이라며 “지금까지는 가족이 관련된 사례가 주를 이뤘지만 누구라도 타인의 신분증이나 개인정보를 알고 있으면 명의도용 문제가 발생할 수 있다”고 지적했다. 그는 이어 “명의 도용 문제는 개인의 보안습관 개선으로 상당부분 해결할 수 있다”고 말했다.

☞ 본 기사는 <머니S> 제505호(2017년 9월13~19일)에 실린 기사입니다.

  • 트위터
  • 페이스북
  • 카카오톡
  • 카카오스토리
  • 문자
  • URL
닫기