‘전자서명법’ 취약점 노출

금전적 갈취를 목적으로 한 인터넷뱅킹의 위험성이 최근 사회적 이슈로 부각되는 가운데, 전자금융거래 이용자의 권익을 보호하기 위해 마련한 ‘전자서명법’이 오히려 전자금융거래 이용자에게 불리하게 작용할 수 있다는 지적이다.

전자서명법이란 전자금융거래 서비스 이용 시, 전자지급거래계약의 확인을 목적으로 기록을 저장하는 전자서명을 의미하며, 현재 금융기관은 동 법안을 충족하기 위해 로그파일 저장 시스템 등을 갖추기 위해 노력하는 과정이다. 그러나 이러한 로그파일 저장장치 역시 무력화 될 수 있다는 우려의 목소리가 제기됐다.

◆ 전자서명법 취약점 노출
본지는 최근 전자금융거래법이 금융기관에게 불리하게 작용할 수 있다는 문제점을 지적한 바 있다. 이러한 문제점은 전자금융거래법 자체가 다양한 취약점을 드러내고 있다는 데서 시작한다. 그러나 최근에는 전자금융거래 과정에서 진행되는 ‘전자서명’과 이를 법으로 규정하고 있는 ‘전자서명법’이 전자금융거래를 이용하는 고객에게 치명적인 약점으로 작용할 수 있다는 문제점을 지적하고자 한다.

우선 인터넷뱅킹 등으로 대표되는 전자금융거래는 온라인 UI 화면에 개인의 정보를 입력하는 것만으로 금융거래를 진행할 수 있다. 이러한 방법만으로 금융거래 가능한 것은 바로 UI 자체가 일종의 문서와 동일한 효력을 갖고 있기에 가능한 일이다.

그러나 최근 지속적으로 문제점이 지적되고 있는 메모리해킹 등의 방식을 활용하면, 사용자가 확인하지 못하는 메모리 뒷단에서 UI 변조가 가능하다. 또 이렇게 변조된 UI가 금융기관의 기록저장 로그에 남게 된다면 전자서명법 자체가 무의미해 질 수 있다는 데 상황의 심각성이 있다.

우선 전자서명법의 개요를 살펴보면 “전자금융거래 서비스 이용 시 전자지급거래계약 확인을 위하여 전자서명을 사용함. 이용자는 금융기관 또는 전자금융업자가 사고를 방지하기 위해 수립한 전자서명 등 보안절차를 철저히 준수하는 등 합리적으로 요구되는 충분한 의무를 다 함“이라고 명시하고 있다.

이를 역으로 해석하면, 전자금융거래 이용자는 금융기관이 제공하는 보안절차를 준수해야 하고, 동 기준을 충족하지 못한다면 전자금융거래 과정에서 발생하는 금전적 사고에 대한 배상을 받을 수 없다는 의미다.
또한, 전자서명법 제2조제3호 라 항을 살펴보면 ‘전자서명이 있은 후에 당해 전자문서의 변경여부를 확인할 수 있을 것’이라고 명시하고 있다. 금융기관은 전자금융거래에 대한 기록을 남겨야 할 의무가 있으며, 이를 확인할 수 있는 시스템을 갖춰야 한다는 의미다. 바로 여기에 저장되는 금융거래 기록이 향후 법적인 효력을 발휘할 수 있다는 의미다.

◆ 로그위변조 시, 고객만 독박

이해를 돕고자 가상의 예를 들어 해당 문제의 심각성을 거론해보자.

A씨는 B씨에게 인터넷뱅킹을 통해 100만원의 금액을 송금했다. 후에 확인된 바에 의하면 B씨의 계좌에는 A씨가 송금한 돈이 입금되지 않았다. 곧바로 A씨와 B씨는 해당 금융기관을 찾아가 동 사안에 대한 항의를 했지만, 금융기관은 이상한 기록을 제시하며, A씨가 다른 계좌로 돈을 송금했다고 주장한다. 이에 A씨는 공인인증기관을 찾아가 저장된 로그파일을 확인해 보니 이 역시도 A씨가 제3의 계좌로 입금한 기록이 남아있다.
바로 PC단에서 변조된 파일이 공인인증기관과 금융기관의 로그보관소에 저장된 상태였고, 결과적으로 A씨는 이를 입증할 방법이 없어 배상을 받지 못하게 된다.

아직까지 이러한 상황이 발생한 사례는 없다. 또한 문제점이 발생하지 않아 동 사안에 대한 심각한 고민조차 진행되지 않고 있는 단계다.

한 보안업계 관계자에 의하면 “동 사안에 대한 문제점은 일부 금융기관 관계자를 중심으로 조심스럽게 논의되고 있는 과정”이라며 “만약 위와 같은 상황이 발생한다면 전자금융거래 이용자는 배상을 받지 못하게 될 것”이라며 설명했다.

또한 “메모리 해킹에 대한 위험성이 지속적으로 부각돼 왔지만, 현재까지는 금융기관의 피해만을 고려해 왔던 것이 사실”이라며 “현재로선 딱히 이러한 가상시나리오를 예방할 기술력이 전무한 상태”라고 말했다.

◆ 복합적 인증시스템 필요

위와 같은 사고를 일반인이 겪는다는 것은 확률적으로 매우 낮다. 무엇보다도 전자금융거래법ㆍ전자서명법과 같은 법률을 이해하고, 일반인이 전자금융거래에 대한 기록을 개인 PC 내에 남겨두었을 리 만무하다. 그러나 동일한 사고가 발생한다면 딱히 구제할 방법도 없는 것이 현실이다.

위와 같은 사안을 해결하기 위해서는 두 가지 선행 작업이 필요하다. 우선 현재 전자금융거래를 중심으로 진행되고 있는 ‘인증’과 ‘서명’을 이원화 하고, 복합적 매체를 통해 동 과정을 진행하는 것이다. 또한 가능하다면 전자금융거래 진행과정의 기록을 개인의 PC 내에 저장ㆍ보관하는 시스템을 갖춰나가는 것이다.

보안업계 관계자에 의하면 “전자금융거래의 진행 정보를 개인 PC 내에 저장하는 방식이 가장 확실한 해결책이 될 수 있을 것”이라면서도 “현재는 동일한 보안 시스템을 갖춰야 한다는 인식조차 없는 상태”라고 말했다.

또한 “동 시스템의 필요성에 대한 인식이 확산된 상태라 하더라도, 이를 구축하고 배포하는 데는 상당한 시간이 소요될 것”이라며 “이는 장기적으로 접근해서 구축해야 하는 영역”이라고 덧붙였다.

한편, 복합적 인증 매체에 준비상태에 대해서는 낙관적인 입장을 밝혔는데, 만약 해킹을 당한다면 PC 단에서는 변조된 UI를 볼 수밖에 없는 구조이기 때문에 정확한 거래의 진행여부를 확인할 수 있는 제3의 매체가 필요하다는 의견을 밝혔다.

동 관계자는 “현 인터넷뱅킹의 경우 본인인증이 통과하면 금융거래에 대한 계약에 서명한 것이나 다름없는 구조”라며 “결국 이러한 인터넷뱅킹에서는 본인인증과 거래계약을 체결하는 서명을 이원화해야 한다”고 설명했다.

또한 “현행 1등급 보안 제품군으로는 위와 같은 상황에 효과적으로 대처할 수 없는 구조”라며 “OTP와 투채널 혹은 그 외의 결합된 복합 매체를 통해 본인인증과 최종 거래 승인을 이원화하는 구조가 도입돼야 한다”고 덧붙였다.



김남규 기자 ngkim@fntimes.com