인터넷뱅킹과 E2E의 한계

국민은행의 인터넷뱅킹이 해커에 의해 해킹 당했다는 사실이 KBS 방송을 통해 공식화되면서 각종 위험요소에 노출된 인터넷뱅킹의 취약성이 다시 도마 위에 오르게 됐다.

또한 금융감독당국이 야심적으로 추진한 1등급 보안제품 OTP(일회용 비밀번호) 조차도 안전하지 못하다는 사실이 확인됨에 따라 현 상황에 대한 우려의 시각이 높아지고 있는 상황이다.

이에 최근 1등급 보안 제품군의 의무 사용 범위를 확대하려고 했던 금융감독당국의 정책에 대한 비판의 목소리가 높아지고 있다.
최근 금융감독당국은 5000만 원 이상의 전자금융거래에 의무적으로 사용해야 하는 1등급 보안제품 사용 기준을 1000만 원 이상의 금융거래 시 적용하도록 했고, 기업의 경우에는 모든 전자금융거래에 의무적으로 사용하도록 규정했다.

이러한 금융감독당국의 행동은 사실상 OPT를 정책적으로 추진하고 있는 금융감독당국의 입장에서 봤을 때 저조한 OPT 사용률을 높이기 위한 고육책이었을지도 모른다.

그러나 불필요한 OTP를 확산하려고 무리하게 보안등급 기준을 재조정하려 했던 감독당국의 근시안적 정책과 맹목적인 추진력은 비판적 논쟁거리를 낳기에 충분하다.

이보다 더욱 우려스러운 상황은 현시점에서 OPT의 취약점이 대중에게 부각되자 똑같은 1등급 보안 제품인 HSM을 내세워 현 상황을 모면하려는 기류가 조성되고 있다는 점이다.

최근의 상황을 살펴볼 때 OTP의 취약점이 대중에게 부각되자 일부 언론과 정부기관에서는 HSM과 E2E를 다루는 자료와 기사가 쏟아내고 있다. 문제는 HSM 역시 OTP와 동일한 1등급 보안제품으로 기술적인 작동원리가 크게 다르지 않다는 점이다. 이를 역으로 판단하면 사실상 유사한 해킹 방식에는 비슷한 취약점을 보인다는 의미이기도 하다.
상황이 이렇게 흘러감에 따라 강하게 부각되고 있는 개념이 E2E(종단간 암호화 적용)다. 완벽한 E2E 상황에서는 OTP와 HSM이 제 기능을 발휘할 수 있게 돼 인터넷뱅킹의 완벽한 보안이 가능하다는 주장에서다.

우선 복잡한 E2E 개념을 쉽게 풀어보면 인터넷뱅킹이 진행되는 전 과정을 암호화함으로써, 전자금융거래의 무결성을 갖추자는 것이다.

이에 금융권에 발을 들여놓은 보안기업들은 모두 E2E를 지원할 수 있다는 식의 주장을 펴고 있지만, 이들 기업들의 기술적인 현실은 일부 구간에 대한 암호화를 제공하는 수준에 머무르고 있다.

이를 다르게 해석하면 사실상 전 인터넷뱅킹 과정의 무결성을 지원할 수 있는 보안기업이 없다는 의미이며, 동시에 금융감독당국이 주장하는 E2E가 현실적으로 불가능하다는 뜻이기도 하다. 즉 E2E가 보장되는 환경에서 작동하는 OPT의 안정성을 기대할 수 없다는 의미다.
동 현상에 대해 한발 더 나아가 생각하면 아이러니 한 점은 또 존재한다. 완벽한 보안이 보장되는 E2E 환경이 구현되어 있다면 인터넷뱅킹 자체가 안전하다는 의미이기 때문에 OTP와 같은 보조 보안매체를 굳이 사용할 필요가 없다. 즉 E2E 환경에서 안전한 OPT란 문맥적 의미에서 부터 모순을 담고 있다는 뜻이다.

현실적으로 일정한 패턴과 규칙을 활용해 개발된 모든 보안제품군은 얼마든지 동일한 기술을 이용한 취약점에 노출될 수 있다. 또한 이렇게 취약점이 존재한다고 해서 인터넷뱅킹 자체를 폐쇄할 수 없는 노릇이다.

기자는 동 사안을 바라보는 해결책을 ‘인식’과 ‘교육’에서 찾고자 한다. 언론을 통해 각종 취약점이 이슈화가 되기 이전 단계에 인터넷뱅킹을 사용하는 모든 고객에게 현재와 동일한 상황이 발생할 수 있다는 인식을 심어주는 노력이 우선시 돼야 한다.

또한 이미 발생한 금융사고의 경우에는 이를 은폐하고 숨기려는 노력보다도 동 사안을 적극적으로 개방하고 알림으로써 피해자와 금융기관 모두가 사건을 조속히 해결할 수 있는 공동의 해결책을 찾을 수 있도록 노력해야 한다.



김남규 기자 ngkim@fntimes.com