홍영표 의원 “OTP에 의존하다보면 보안시스템만 계속 늘어”
증가하는 인터넷뱅킹 사고를 대비해 새로운 보안 시스템 대안을 찾아야한다는 의견이 나왔다.

정무위 소속 홍영표 의원(민주당)은 최근 국정감사에서 “OTP 자체는 큰 문제가 없다고 해도 OTP 비밀번호는 반드시 컴퓨터(PC)에 입력되어야만 실제 사용이 가능하기 때문에 인터넷이라는 OPEN된 환경에서 사용되는 컴퓨터(PC)에는 다양한 프로그램들이 수도 없이 설치되고 작동되고 있으니, 어쩔 수 없이 취약점은 존재할 수밖에 없다”며 금융 보안시스템의 대안을 찾아야한다고 주장했다.

한국은행 자료에 의하면, 2009년 6월말 현재 국내 주요 은행 17개, HSBC(홍콩상하이은행), 우체국 등 19개의 금융기관의 인터넷뱅킹 고객수가 5,557만명이고 일평균 이용건수가 2,690만건이며, 거래금액은 28조 3,482억원인 것으로 파악되고 있다.

금감원이 제출 자료에 따르면, 그 이후인 '08년에 총 8건, 1억5천만원, 그리고 '09년(8월말 기준)에는 총 14건에 2억3천만원 규모의 인터넷뱅킹 사고가 발생한 것으로 파악됐다.

이처럼 하루 평균 28조원이라는 엄청나게 많은 금액이 거래되는 인터넷뱅킹의 보안문제를 해결하기 위해 나타난 것이 비밀번호 생성기(OTP)이다. 금융보안연구원의 자료에 의하면, ‘07년 6월 OTP통합인증센터 설립 이전 OTP 발급건수는 총 62만여 건에서 ’08년 상반기에만 1백만건을 상회하고, ‘09년 상반기에도 51만6천여 건으로 매우 빠르게 증가하고 있다. (현재 OTP 발급/재발급 건수는 총 2,961,595건) ‘05년부터 현재까지 보안시스템 개발, 도입, 유지보수에 7개 시중은행이 투자한 액수는 무려 2,140억원에 달하고 국민은행은 같은 기간동안 가장 많은 812억원을 투자한 것으로 나타났다.

그러나 문제는 현재 인터넷뱅킹 보안위협의 수준이 OTP나 키보드 보안 솔루션만으로 해결할 수 없는 수준에 이르렀다는 것. 한 예로, 2009년 8월 11일부터 9월 1일까지 독일 소재의 한 은행에서는 개인 고객 pc 메모리해킹(고객 pc 메모리변조)에 의하여 한화 약 4억 원 정도가 인출되는 사건이 발생했다. 해당 사건에서는 웹사이트 해킹, 피싱, 스파이웨어, 입력내용 변조, 키보드 해킹 등의 기법이 복합적으로 사용된 것으로 나타났다.

독일에서의 사건에서 볼 수 있듯이, 앞서 말한 해킹 기법 중 사용자 입력내용 변조를 통하여 이체 계좌, 이체 금액을 조작하는 해킹에 대해서는 국내 금융기관들도 안전하지 않은 상태라고 홍 의원은 주장했다.

OTP센터가 있는 금융보안연구원에는 현재 금감원 (고봉식) 수석조사역이 ‘08년 6월부터 현재까지 파견근무를 나가 경영·인증관리 본부장 겸 대외협력팀장을 겸임하고 있는데, 금감원은 파견이유를 “금융보안연구원 설립 초기 금융회사간 이해관계 조정 및 대외기관과의 업무협력 등을 효율적으로 수행하기 위하여” 파견되었다고 밝히고 있다.

이에 대해 홍의원은 “설립된지 3년이 다 되어가도록 아직까지 위와 같은 이유로 파견직원을 연구원에 보내 근무시키는 것은 세간에 떠도는 ‘금감원 직원이 OTP 사용을 확대시키려고 은행에 압력을 넣기 위해 그 자리에 나가 있는 것’이라는 의혹을 불러일으키기에 충분한 조건이 된다”며 “언제까지 금감원 직원을 연구원에 파견근무 시킬 것인지, 정확히 어떠한 업무를 수행하고 있는지 명확히 밝혀야 할 것”이라고 주장했다.

홍의원에 따르면, 금융보안연구원은 은행사, 보험사, 카드사, 상호저축은행, 선물사 등으로부터 매년 연구원의 운영·관리와 OTP통합인증센터 운영·관리를 명목으로 분담금을 받는 것으로 알려졌다. 그리고 분담금은 설립한 다음해인 ‘07년에는 63억 원, ’08년과 ‘09년에는 각각 45억 원이나 되는 것으로 파악됐다.

연구원 운영 및 관리에 따른 경상적 지출 등으로 지출하는 분담금 (일반회계)

(단위 : 백만원)
연도
은행권역
증권권역
보험권역
기타권역*
계
‘06년
359
167
139
106
771
‘07년
1,098
509
426
328
2,361
‘08년
1,201
552
468
361
2,582
‘09년
1,216
555
432
373
2,576
 
* 상호저축은행, 선물사, 카드사 등


OTP통합인증센터 운영 및 관리 등으로 지출하는 분담금 (특별회계)

(단위 : 백만원)
연도
은행권역
증권 및 기타권역
계
‘07년
2,378
1,585
3,963
‘08년
1,306
672
1,978
‘09년
1,306
672
1,978

※ 금융보안연구원 설립일 : 2006년 10월 4일

이어 홍 의원은 “입력내용 변조 해킹을 하면 OTP는 결국 있으나마나 하다는 것인데, 이것에 대한 근본적인 방지대책은 뒷전에 두고 도대체 왜 OTP만을 금감원이 고집하는지 납득하기 어렵다”면서 “처음에 OTP를 도입할 때는 마치 모든 해킹에 안전한 것처럼 하고, 이제는 OTP의 한계를 만회하기 위해 해킹에 취약한 컴퓨터(PC)에다 또다시 이것저것 보안프로그램을 설치하는 악순환의 고리를 끊지 못하는 이유가 무엇인지 궁금하다”며 따졌다.

결국 근본적으로 현재 인터넷뱅킹이 일방향 승인으로 거래가 체결되기 때문에 결과적으로는 최초 사용자 컴퓨터(PC)의 안전이 보장되지 않는다면, OTP든 뭐든지 간에 완전한 보안은 불가능하다는 것.

이에 대한 대안으로 홍 의원은 “최초 사용자컴퓨터(PC)의 특성상 보안프로그램을 아무리 설치해도 취약점은 계속 나올수 밖에 없기 때문에 많은 보안프로그램을 설치하고 다시 보완하는 식의 소모적인 방식보다, 인터넷뱅킹의 이체실행 직전에 PC 이외에 다른 매체(전화 등)를 이용하여 최종확인을 받는 양방향 전자금융시스템을 구축하는 것이, 나날이 발전해가는 해킹 기법에 능동적으로 대처하고 인터넷뱅킹 피해를 최대한 막을 수 있는 대안”이라고 밝혔다.

< 건별 사고금액 (2005.1월～2009.8월) >

(단위 : 백만원)


※ '09년도 발생 사고는 현재 경찰에서 수사 중으로 수사결과에 따라 전자금융 사고 여부가 최종 결정될
예정임   (금감원 자료)
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>