카드 복제 막을 길은 IC칩 조기 도입뿐

금융보안이 금융권의 새로운 화두로 떠오르고 있다.

농협 단위 조합의 현금카드 위조사고, 인터넷마비 사태에 따른 인터넷뱅킹서비스의 완전중단, 또 국민은행의 폰뱅킹 사고 등 대형 사고들이 정신없이 터져나오고 있기 때문이다. 보안사고때문에 노이로제에 걸릴 지경이란 게 담당 실무자들의 하소연이다.

사건의 성격에따라 대수롭지 않게 지나칠 수도 있는 문제이지만 이번 사고들의 경우는 당장 근본적인 치유가 필요한 취약지대라는 점에서 금융권의 대응여부가 주목된다.

현금카드 위조사고, 인터넷마비, 폰뱅킹 등 주요 사고들이 앞으로 금융권 전체에 미칠 여파에 대해 사례별로 분석해 본다. <편집자주>

▶ 인터넷망 마비사태
금융권은 지난 25일 전국적인 인터넷망 마비사태로 인해 인터넷뱅킹서비스가 완전히 중단됨에 따라 인터넷뱅킹팀 관계자들이 일요일에도 전원출근해, 보안패치프로그램을 설치하는 등 비상사태에 빠졌다. 다행히 첫 영업일인 27일(월요일) 특별한 시스템 중단사고가 발생하지 않았으나 은행권이 그렇게 믿고 의지했던 인터넷뱅킹시스템이 얼마나 취약한가를 여실히 보여줬다.

한 시중은행 관계자는 그나마 토요일에 사고가 났기에 망정이지 평일날 그랬으면 엄청난 혼란이 야기될 뻔 했다며 이번 사고는 사실상 국가 비상사태이기 때문에 정부차원의 강력한 대비책을 마련해야 한다고 강조했다.

이번 인터넷망 바비사고의 경우 국가 기간망 자체가 물리적으로 다운되버린 것이기 때문에, 이 기간망을 이용하고 있는 금융권이 책임을 뒤집어 쓸 이유는 없다.

하지만 금융권은 KT등이 운영하는 국가 기간망의 DNS서버가 다운되버릴 경우에는 금융기관차원에서 내놓을 수 있는 대책은 사실상 없다는 데 경악해하면서도 허탈감을 감추지 못했다.

지금까지 은행권의 인터넷뱅킹 다운사고는 빈번하게 일어났지만 이는 해당 은행의 접속과부화나 서버에 탑재된 운영소프트웨어의 오작동으로 인한 것이었고, 사고의 범위도 1개 은행의 문제로 그쳤지만 이번 처럼 전금융기관의 인터넷뱅킹 채널이 완전 마비되버린 경우는 아니었기 때문이다.

*해킹...특정 금융기관 겨냥땐 위협 = 이번 인터넷망 마비는 국가 기간망인 DNS서버의 접속지연이 직접적인 원인이기 때문에 금융권의 책임이라고 할 수 없다. 하지만 해커가 특정 금융회사를 노리고 이러한 사고를 의도적으로 계획한다면 사정은 달라진다.

특히 해커의 집중적인 공격대상이 되고 있는 마이크로 소프트의 제품들을 상당수 채택하고 있는 국내 금융권의 상황을 감안할때 해킹의 위협은 곧바로 해당 금융회사의 존립의 문제와도 직결된다는 지적이다. 다행히 현재 인터넷뱅킹과 같은 대고객업무에 대해서는 국내 은행권 대부분이 NT서버를 채택하지 않고 있어 큰 문제가 없을 것이라는 분석이다. 물론 그렇다고 안심할 단계는 아니다.

*전용망확대 DNS서버 다중화및 백업이 유일한 대안= 인터넷뱅킹이 마비될 경우 금융결제원을 허브(hub)로 해서 운영되고 있는 은행공동망, CD망 등 전용망 파워를 크게 확대시키는 것이 그나마 대안으로 지적되고 있다.

특히 인터넷뱅킹이 다운됐을 경우 즉시 전화를 이용해 거래를 처리하는 폰뱅킹으로 전환시킬 수 있는 대응 시나리오가 시급히 마련돼야 한다는 지적이다. 하지만 현재 규정상 폰뱅킹의 경우 인터넷뱅킹보다 처리가능한 금융결제(송금,이체등) 한도가 훨씬 적어 이를 현실적으로 뜯어고치려면 적지않은 시간이 걸릴 전망이다. 현재 금융당국과 은행권은 이같은 구체적인 대응시나리오를 전혀 가지고 있지 않다.

물론 이보다 더욱 근본적인 해결책은 국가 인프라인 DNS서버의 다중화 또느 백업화를 하루빨리 서둘러 이번과 같은 사태를 예방하는 것외에는 대안이 없다는 것이 중론이다. 물론 금융권만 공동으로 사용하는 전용 DNS체계를 갖추고 전용인터넷망을 구축하는 것도 대안이 있을 수 있으나 이는 엄청난 비용부담때문에 사실상 불가능한 대안이라는 것이 대체적인 견해다.

▶ 폰뱅킹사고

은행권 전자금융부서 실무자들은 지난 28일 국민은행에서 폰뱅킹사고가 나자 경악을 금치 못했다. 폰뱅킹은 어떤 전자금융 채널들보다 기술적으로는 안전하다고 믿어왔기 때문이다. 그렇지만 폰뱅킹이 결코 안전하지만은 않다는 것이 금융전문가들의 지적이다.

전화를 이용해 금융거래서비스를 제공하는 폰뱅킹은 인터넷뱅킹에 비해 안전하다. 폰뱅킹을 할때 보안카드를 사용하는 데 이 보안카드에는 4자리로 된 30개의 난수가 카드 뒷면에 적혀있는데 고객마다 이 난수의 배열가 번호가 모두 틀리다. 고객은 30개의 번호중에서 자신의 임의대로 패스워드를 입력하면 된다.

따라서 범인이 불특정대다수를 상대로 동시에 폰뱅킹을 해킹하는 것은 논리적으로 불가능하다. 다만 범인이 어느 한 특정인의 비밀번호와 보안카드 정보까지 알고있