보안 취약한 인증·오픈뱅킹… 한 곳 뚫려도 모든 계좌 털린다 [심층기획]

간편·보안 구멍 ‘양날의 검’
12월 공인인증서 지위 폐지 ‘자유경쟁’
쉽고 빠른 인증 선호 안전성 외면 우려
해킹 발생 땐 몰래 대출 등 ‘속수무책’
“여러 방식 본인인증 등 안전성 높여야”
금융혁신 핀테크의 ‘배신’
대출신청 집서 휴대폰 몇 번 터치로 끝
당국, 5년 전 도입 때 “안전” 호언장담
카카오페이·토스 ‘도둑 결제’ 사례 속출
신분증 도용한 억대 비대면 대출 빈번

비대면 거래는 편리하다. 은행에 가지 않아도 친구에게 돈을 보낼 수 있다. 대출 신청은 엄지손가락 몇 번만 움직이면 끝이다. 비대면 금융거래는 금융소비자의 편의성을 높였다. 하지만 소비자가 금융 사고에 노출될 위험도 동시에 키웠다. 편리함은 필연적으로 안전성을 깎아먹는다.

 

최근 금융환경은 비대면 금융거래 사고를 더욱 부추긴다. 공인인증서 폐지는 간편함에 중점을 둔 본인인증 서비스 활성화를 부를 것으로 보인다. 일각에서는 간편 인증 서비스의 취약점을 노린 해킹이 기승을 부릴 것이라고 우려한다.

 

하나의 애플리케이션(앱)으로 자신의 모든 계좌를 관리할 수 있는 오픈뱅킹 서비스도 마찬가지다. 한 곳에서 보안이 뚫렸을 때 금융소비자의 모든 계좌가 털리는 상황이 발생할 수 있다. 전문가들은 비대면 금융 거래에 대한 금융회사의 책임을 강화하는 한편 보안의 중요성에 대한 인식 제고도 이뤄져야 한다고 강조한다.

 

◆쉽게 ‘쓱’… 편의성이 안전성 가릴라

 

24일 금융권에 따르면 공인·사설인증서의 구분을 없앤 전자서명법 개정안이 다음달 10일 시행된다. 개정안이 시행되면 ‘공인인증서’라는 개념이 사라진다. 지금까진 금융결제원, 코스콤, 한국정보인증, 한국전자인증, 한국무역정보통신 5개 기관이 발급하는 인증서가 공인인증서로서 지위를 가졌지만 이젠 시장에서 모든 본인인증 서비스가 자유롭게 경쟁하는 것이다.

편의성에 중점을 둔 본인인증 서비스가 시장을 선점하면 안전성은 상대적으로 취약해질 수밖에 없다.

 

오픈뱅킹도 위험을 가중시키는 요소 중 하나다. 평소에는 소비자가 하나의 앱에서 이체, 조회 등의 작업을 모두 할 수 있어서 편리하지만 해킹당한 상황이라면 이야기가 달라진다. 단 한 번의 해킹으로 모든 계좌가 뚫릴 수 있어서다.

비대면 금융거래 사고는 더 이상 남의 일이 아니다. 공무원 김모(30)씨는 지난 6월 전세자금 마련을 위해 은행을 찾았다 자신도 모르는 사이 1억1400만원의 대출이 발생한 걸 알게 됐다. 누군가 연금보험을 담보로 7400만원, 신용대출로 4000만원을 타간 것인데, 계좌 개설과 대출은 모두 영업점 방문 없이 비대면으로 이뤄졌다.

 

같은 달엔 모바일 송금 서비스 앱 토스에서 이용자 몰래 결제가 이뤄지는 사고가 일어났다. 온라인 가맹점 세 곳에서 8명 명의로 부정결제가 이뤄졌고 피해 금액은 938만원이나 됐다. 지난 9월에는 카카오페이에서 부정결제가 발생했다. 구글 플레이스토어에서 9만9000원이 빠져나갔는데 이용자는 돈이 빠져나가고 나서야 해당 사실을 인지했다.

 

◆정부 “무권한거래 책임 금융사에”… 보안 중요성도 깨달아야

 

“비대면 확인방식을 허용한다고 해서 실명확인 과정이 느슨하게 운용될 것이라는 선입견이나 오해는 철저히 불식하고 거래 안정성을 확보할 것이다.”

 

금융위원회와 금융감독원이 2015년 5월 “이제 집이나 직장에서 은행 및 증권사 계좌를 열 수 있다”며 대대적으로 발표한 내용의 일부다. 비대면 본인인증은 이미 비대면 금융 거래가 이뤄지고 있던 일본, 프랑스, 캐나다의 방식을 허용했다. 신분증 사본을 촬영해 금융기관에 전송하거나, 금융사 직원과의 영상통화 등이 그것이다. 금융당국은 “비대면 확인 과정에서 명의도용 금융사기나 대포통장 발급 등 부작용 가능성을 최대한 차단할 것”이라고 자신했다.

 

그렇지만 5년 전 금융당국의 호언장담과 달리 허술한 본인인증에 따른 금융소비자 피해가 잇따르고 있다.

 

정부도 부랴부랴 대책마련에 나섰다. 정부는 ‘이용자가 허용하지 않은 결제·송금(무권한거래)’에 대해서도 금융회사가 책임을 지도록 전자금융거래법을 개정한다. 이에 따라 금융회사는 특정 거래가 피해자가 허용한 거래인지 여부를 직접 입증해야 한다. 금융위원회는 “현재 금융회사는 접근매체의 위·변조, 해킹 등 한정된 사고에 대해서만 책임을 진다”며 “유럽연합(EU)과 미국 등은 무권한거래 전반에 원칙적 배상책임을 두고 있다”고 밝혔다.

전문가들도 금융회사의 책임을 강화해야 한다고 입을 모은다. 권헌영 고려대 교수(정보보호대학원)는 “(비대면 거래에서) 제일 중요한 부분은 금융회사가 얼마나 책임을 지느냐는 것”이라며 “금융회사가 책임을 충분히 지면 비대면 거래를 해도 문제가 없다”고 강조했다. 이어 그는 “인증을 할 때 멀티팩터 인증 방식(하나가 아닌 여러 방법을 섞어 본인인증)을 사용하면 안전성이 증대될 것”이라고도 덧붙였다.

 

보안에 대한 인식이 제고돼야 한다는 의견도 나왔다. 오정근 건국대 교수(금융IT학)는 “금융은 안정성이 가장 중요한 산업인데 핀테크 뿌리는 IT이다 보니 이런 금융산업의 특성을 이해하지 못하는 부분이 있다”며 “금융은 어느 정도 규제가 필요한 산업”이라고 밝혔다. 임종인 고려대 교수(정보보호대학원)는 “악성코드를 심은 메일 등이 많이 오는 시대다 보니 소비자들이 스스로 조심하는 것이 가장 중요하다”며 “정부에서 최근 거리두기를 강조하듯이 보안에 대한 인식제고 운동도 이뤄져야 한다”고 주장했다.

 

이희진·배민영 기자 heejin@segye.com