2005년 5월 국내 최초로 모 은행 인터넷뱅킹 해킹사고가 발생했다. 이후 2007년 1월에는 중국 해커로 추정되는 해커들이 국내 특정 사이트를 해킹해 해당 사이트에 접속한 고객의 PC에 악성코드를 설치, 4천여 개의 공인인증서를 복제하고 가짜 은행 사이트에 접속하게 한 다음 이용자가 입력한 개인정보(계좌비밀번호, 주민등록번호, 보안카드번호 등)를 유출하는 피싱(Phising) 사고가 발생했다. 최근에는 N은행과 H캐피탈의 금융 해킹사고까지 7년 동안 금융해킹사고는 끊이지 않고 있다. 이에 전자금융서비스에 대한 국민의 불신과 불안감은 더욱 높아가고 있다. 금융보안연구원 곽창규 원장은 이와 같은 금융 해킹문제를 해결하기 위해서는 원인을 정확히 짚어내고 보다 안전한 금융환경 조성을 위해 관련 부처와 해당 금융기관의 대책 마련과 더불어 이용자 역시 안전수칙을 철저하게 지키는 등 모두의 적극적인 협조가 필요하다고 당부한다.
금융시설 투자 및 정보 보호 위한 인력 확보 아끼지 않아야
해킹사고로 발생하는 정보 유출사고의 유형은 크게 개인정보 유출과 금융정보 유출로 구분할 수 있다. 개인정보(이름, 주민등록번호, 전화번호, 이메일 등)는 개인이 존재하는 동안 변경할 수 없는 정보이기에 개인을 사칭하는 1차 피해에서 나아가 2차 피해, 즉 유출된 개인정보를 악용해 보이스 피싱 및 이메일 피싱 등으로 이어질 수 있어 더욱 위험하다. 유출된 신용정보를 기반으로 악의적인 대출 시도나 대출 사기 등의 범죄가 발생할 수 있기 때문이다. 개인정보 유출에 비해 금융정보(계좌번호, 신용카드번호 등) 유출은 개인정보와 상관없이 변경 가능한 정보이므로 피해사실을 인지한 후에는 1, 2차 피해를 방지할 수는 있지만 여러 가지 혼란을 불러올 수밖에 없다. 그렇다면 이와 같은 해킹사고가 자꾸만 발생하는 이유는 무엇일까. 곽 원장은 금융회사의 인식 재고가 무엇보다 시급하다고 말한다.
“우선적으로 금융회사 경영진이 정보 보호를 위해 소요되는 예산을 비용으로 인식하는 경향이 있습니다. 하지만 최근에 일어났던 일련의 사고에서 보더라도 정보 보호는 비용이 아니라 기업의 명성과 추후 영업활동에 악영향을 초래하는 리스크 관리로 인식할 필요가 있습니다.”
또한 요즘에는 갈수록 해킹 기법 및 수단 등이 점점 고도화되고 심지어 일반인에게도 해킹 기법이 공개되어 파급속도가 확산되고 있다. 이에 따라 금융회사는 비즈니스 활성화를 위한 금융서비스 개발뿐만 아니라 정보 보호 업무에 대한 관심도 놓치지 않아야 하며, 금융시설 투자 및 정보 보호 인력 확보 등의 분야에서 감독 당국의 가이드라인을 반드시 준수해야 할 것이다.
이용자 개인의 철저한 개인정보 관리도 중요
사실 지금까지 우리나라 사이버 금융 시스템은 세계에서도 상위권 수준으로 평가받아왔다. 금융 IT업무가 선진국과 동일한 수준으로 성장했을 뿐 아니라 마찬가지로 전자금융 거래에 적용된 보안기술 역시 이미 해외 어느 나라보다도 높은 수준을 유지하고 있다. 항간에서 제기되는 보안시스템의 부재라는 의견은 적절하지 않다는 것이 곽 원장의 생각이다.
“현재 우리나라에서 운영하고 있는 보안시스템은 다양한 측면의 취약점에 대응하고 있습니다. 백신, 개인방화벽, 키보드해킹 방지 프로그램뿐만 아니라 일회용 비밀번호(OTP), 보안토큰(HSM), 공인인증서 등을 적용하고 있죠. 이에 대해 일각에서는 해외에 비해 과도한 보안규제 및 기술을 적용하고 있어 오히려 인터넷뱅킹이 복잡하고 귀찮다는 의견도 있습니다.”
이 말은 곧 금융 보안사고가 모두 금융회사의 유책 사유 때문만은 아니라는 것이다. 최근에 있었던 H캐피탈과 N은행 사고는 금융회사의 부주의로 인한 해킹사고지만, 이전에 있었던 대부분의 금융 해킹사고는 이용자의 공인인증서, 보안카드 등 정보 관리 부주의로 인한 개인정보 유출에 따른 사고였기 때문이다. 따라서 이용자 개인의 금융정보에 대한 관리는 앞으로도 더욱 철저히 이루어져야 한다.
“전자금융서비스에 대한 안전성과 편리성은 양날의 검과 같아서 어느 한쪽에 치우치기보다 적절한 균형과 철저한 관리가 필요합니다. 최근에는 무선LAN 환경이나 모바일 오피스 등 창의적이고 새로운 비즈니스 환경이 생겨나고 있고, 스마트폰과 같은 전자금융 거래수단까지 등장하고 있어 금융보안연구원에서도 끊임없는 연구와 노력을 이어가고 있습니다.”
이러한 노력으로 금융보안연구원은 최근 1등급 보안매체인 일회용 비밀번호(OPT)의 확산 및 인증기술수준 제고를 위해 OPT통합인증센터를 설립하기도 했다. 또한 안전한 전자금융거래를 위해 주기적으로 이용자 PC에 설치되는 다양한 보안 프로그램의 취약성을 분석하고, 해당 내용을 금융회사에 전달해 보안성을 강화하고 있다. 또한 금융회사의 홈페이지 등에 보안문제가 없는지, 금융회사 내에서 필요로 하는 정보 및 기술은 무엇인지 살펴보는 것이다. 금융보안연구원은 2012년까지 ‘안전한 u-금융세상을 만드는 금융보안 허브’를 비전으로 삼고 금융보안의 중요성에 대한 대내외 인식 고취 활동뿐 아니라 금융보안 전문가 양성에 기여하기 위해 대학과 인력 양성은 물론 기술교류를 위한 협약을 체결하는 등 다양한 노력을 하고 있다. 일반 이용자들의 금융보안 수준 제고를 위해서도 온라인 교육 및 금융보안의 날 행사 등 다양한 캠페인도 이어갈 예정이다.
“금융회사 경영진의 정보보호시스템의 중요성에 대한 인식 제고는 물론이고, 일반 이용자들도 개인의 관리 부주의에 따른 유출사고가 발생하지 않도록 개인 금융정보를 좀 더 철저하고 정밀하게 관리해준다면 금융보안을 위한 연구와 노력도 더욱 빛을 발할 것으로 기대합니다.”
이용자가 꼭 지켜야 할 안전수칙
1 출처가 불분명한 이메일이나 첨부파일은 열지 말고 삭제한다.
2 보안 프로그램을 설치하고 항상 최신 엔진으로 업데이트한다.
3 PC방 등 누구에게나 개방된 컴퓨터에서 인터넷 금융거래를 하지 않는다.
4 로그인 계정의 비밀번호는 주기적으로 변경하고, 타인이 쉽게 추정할 수 있는 간단한 번호 사용을 지양한다.
5 개인정보, 계좌정보 등을 요구하는 수상한 이메일이나 사이트는 신종 금융사기 수법인 ‘피싱(Phising)’을 먼저 의심해보고 각별히 주의한다.
6 금융기관으로부터 개인정보, 계좌정보 등의 업데이트나 정보 변경을 요구하는 이메일을 받으면 클릭하지 말고 해당 금융기관 사이트에 가서 직접 확인한다.
7 인터넷 금융거래와 계좌 비밀번호는 별도로 적용한다.
8 PC에 보안카드 등 중요 정보를 저장하지 않으며, 1회용 비밀번호 생성기인 OTP 등 보안 강화 매체를 적극 사용해 보안에 만전을 기한다.
