“보안없는 핀테크 활성화, 큰 재앙” 우려

핀테크 활성화로 금융감독원의 전자금융업 등록 절차가 간소화되면서 등록 회사수가 증가하는 성과를 거두긴 했지만 가장 중요한 보안이 제대로 유지되고 있는지에 대한 우려가 제기됐다.

특히 중소기업과 창업기업의 경우 자체적으로 완벽한 보안을 유지하는 것이 사실상 불가능하기 때문에 일부 기업에서 보안사고가 발생해 불안심리가 확산되면 핀테크 산업 전체가 위축될 수 있다는 주장도 이어졌다. 국회 정무위 이운룡 새누리당 의원은 7일 “화이트 해커를 활용해 취약점을 찾아 신고하게 하는 ‘버그 바운티(Bug Bounty)’ 제도 도입을 적극 검토해야 한다”고 주장했다.

금감원은 지난 5월 핀테크 산업 활성화를 위해 전자금융업 등록절차를 간소화했다. 심사기간이 2~3개월에서 20일 내로 대폭 단축되고 심사항목도 72개에서 32개로 줄었다. 이에 따라 금감원이 전자금융업 허가를 시작한 2007년 29개 회사가 등록한 이후 2008년 8개, 2009년 3개로 급감하던 것에서 올해 9월 기준 16개로 큰 폭 증가했다. 이 의원은 “금감원 등록절차 간소화가 핀테크 산업 확대를 위한 선제적 조치로 큰 의미를 가지고 있으나 관건은 제대로 된 보안을 유지하고 있느냐”라고 지적했다.
금감원이 심사항목을 축소하는 과정에서 보안사고 방지 및 소비자 보호 등을 위한 필수항목은 유지했다고는 하지만 “전문가들이 보기에는 간소화 조치 이전부터도 보안상의 문제가 많다는 지적이 있었다”는 것이다.

이 의원은 정보보호와 사이버안보 강화를 위해 설립된 K-BoB 시큐리티 포럼에 의뢰해 국내 핀테크 업체의 보안 상태를 점검한 결과 심각한 문제점이 발견됐다고 밝혔다. 바코드를 입력해 결제하는 A프로그램의 경우 해킹과 불법복제를 방지하기 위해 프로그래밍 언어를 읽기 어렵게 만드는 ‘난독화’ 보안이 적용되지 않아 복제 해킹프로그램을 통해 손쉽게 바코드를 생성해 결제가 가능했다.

이 의원은 “많은 기업에서 보안을 강화하고 있지만 준비가 미흡한 일부 기업에서 보안사고가 발생해 불안심리가 확산되면 핀테크 산업 전체가 위축될 우려가 크다”며 버그 바운티 제도 도입을 제안했다. 버그 바운티는 웹서비스나 소프트웨어 등의 취약점을 찾아낸 사람에게 보상금을 지급하는 제도다. 해커들이 버그를 악용하는 것 보다 이를 발견해 신고하도록 장려하기 위한 프로그램이다.

이 의원은 “고도로 숙련된 전문인력을 손쉽게 활용할 수 있다는 측면에서 버그 바운티 제도 도입을 적극적으로 검토해야 한다”며 “보안없는 핀테크 산업 활성화는 사상누각”이라고 강조했다.


김효원 기자 hyowon123@fntimes.com