전자금융 소프트웨어 제3자 검증 거쳐야

모바일, 인터넷 금융거래 늘어도, 금융보안 소프트웨어 취약점 개선은 어려워

소프트웨어 개발 시는 자체 점검과 제3자의 시험을 의무화 하는 것이 바람직

첨단 IT기술력과 금융회사의 지속적인 서비스 개발 노력으로 우리나라 금융소비자는 시간과 장소에 구애받지 않고 편리하게 전자금융생활을 영위할 수 있게 되었다.
최근 한국은행 및 한국거래소에 따르면 금년도 6월말 기준 입출금 및 자금이체에서 인터넷뱅킹이 차지하는 비중은 32.5%에 달하고 있으며, 상반기 유가증권거래에서 MTS(Mobile Trading System) 및 HTS(Home Trading System)가 차지하는 거래비중도 거의 40%에 육박하고 있다. 특히, 스마트폰의 급격한 보급에 따라 스마트기기를 이용한 금융거래는 지속적으로 증가하고 있다.

하지만, 이러한 전자금융 서비스를 마음 놓고 편리하게 이용하기 위해서는 무엇보다 보안성이 전제되어야 한다. 최근 몇 년간 발생한 금융보안 사고사례에서 볼 수 있듯이, 금융보안 사고는 금융소비자와 금융회사 모두에게 많은 손실을 초래할 수 있다.

이에 따라, 각 금융회사는 전자금융 서비스의 안전성을 확보하기 위하여 많은 노력을 기울이고 있는데, 금융소프트웨어 내 보안로직을 추가하거나 금융소프트웨어를 금융보안 소프트웨어와 연동하여 안전하게 동작하도록 하는 등의 내용도 그 노력의 일환으로 볼 수 있다.

그러나, 소프트웨어는 사람에 의해 개발되기 때문에 완전할 수 없고, 소프트웨어의 취약점을 악용하여 금전적, 정치적, 사회적 목적에 활용하고자 하는 수많은 공격자로부터 끊임없이 위협에 노출되어 있으며 전자금융 소프트웨어(금융소프트웨어 및 금융보안 소프트웨어)도 예외가 될 수 없다.

특히, 전자금융 소프트웨어의 취약점으로 사고가 발생할 경우 많은 금전적 손실, 금융회사에 대한 불신, 사회적 혼란 등 많은 역기능을 야기할 수 있다. 실제 지난 3.20 사이버테러에서 금융회사에서 사용하는 보안 소프트웨어의 취약점이 활용된 사실이 언론에 보도되어 이슈가 된 바 있다. 따라서, 전자금융 소프트웨어의 취약점은 실사용 이전에 반드시 점검 및 보완되어야 할 필요가 있다.
전자금융 소프트웨어의 취약점을 사전에 점검할 수 있는 가장 효율적인 방법은 전문성 있는 기관에 의한 제3자 시험이라고 생각된다. 물론, 개발사가 소프트웨어를 공급하기 전에 자체적으로 취약점을 점검하여 문제점을 해결하는 것이 가장 좋은 방법이겠지만, 미용사(혹은 승려)가 자신의 머리를 직접 깎을 수 없는 것처럼 아무리 뛰어난 개발자일지라도 자신이 개발한 소프트웨어의 취약점을 직접 찾아내기는 쉽지 않다.

윈도우즈 운영체제로 유명한 마이크로소프트사의 경우도 SDL(Security Develpment Lifecycle)이라는 보안개발방법론을 통해 소프트웨어 출시 전 자체적으로 취약점을 보완하여 많은 효과를 보고 있다. 나아가 자체점검에는 한계가 있어 취약점 제보 시 최대 15만달러를 지급하는 MS 보안 현상금 프로그램(Microsoft Security Bounty Programs)을 운영하고 있다.

우리의 실생활에서도 비슷한 사례를 볼 수 있는데, 장기를 둘 때 자신보다 나은 실력을 지닌 사람에게 오히려 훈수를 두는 경우나 현역시절 뛰어난 선수는 아니었지만 뛰어난 지도력으로 많은 성과를 보이는 스포츠 감독의 경우도 그 예가 될 수 있을 것이다.

실제 국외 소프트웨어 선진국의 경우 전문시험 기관을 통한 제3자 소프트웨어 시험이 보편화되어 있고, 이를 통해 소프트웨어의 기능, 성능, 보안성 등을 점검하고 있다. 하지만, 전자금융 소프트웨어에 대해 전문적으로 시험하는 제3자 시험의 사례는 쉽게 찾아보기 어렵다.
특히, 우리나라는 고도의 IT 인프라에 상응하는 고도의 전자금융 보안위협에 대응하기 위해 많은 보안대책들을 적용하고 있는데, 이러한 보안대책들은 상호연동하여 동작하는 경우가 많으므로 전자금융 소프트웨어에 대한 적절한 시험을 위해서는 이에 대한 전문적 지식과 시험기술이 필요하다.

이와 관련해 금융보안연구원은 지난 2007년부터 ‘금융보안적합성 시험’ 및 ‘전자금융 이용자 (보안)프로그램 취약점 점검’ 서비스를 통해 전자금융 소프트웨어의 안전성을 높이기 위해 지속적으로 노력중이다.

전자금융 소프트웨어 개발사는 전자금융 소프트웨어의 중요성을 인식하고 취약점 없는 소프트웨어를 개발하도록 더욱더 매진하고, 금융회사는 전자금융 소프트웨어의 실사용 이전에 자체검증 등의 노력과 더불어 상기 서비스와 같은 제3자 전문기관 시험을 통한 취약점 사전점검 과정을 거친다면 전자금융 소프트웨어의 취약점을 최소화 할 수 있을 것이다. 제3자 시험 등을 포함한 모두의 노력으로 보다 안전하고 편리한 전자금융 환경이 조성되기를 바란다.



관리자 기자