스마트폰 금융 보안 대책, 스마트폰 보안 기술 견인 기대
유비쿼터스 시대가 도래 함에 따라 IT업계에서는 모바일 금융 서비스 활성화에 관심이 집중됐던 시기가 있었지만, 이동통신사에 종속된 모바일 금융서비스의 한계로 인해 빛을 보지 못하고 관심은 식어갔다. 그러나 최근 아이폰이라는 히트 스마트폰의 등장으로, 스마트폰 금융 서비스가 다시 관심사로 떠오르고 있다. 금융서비스는 실제로 돈이 오가는 상용 인터넷 서비스의 꽃이기 때문이다. 본래 기획 의도는 스마트폰 금융 보안 전체를 목표로 했으나, 현재 가장 빠르고 신속하게 진행되고 있는 서비스가 대부분 아이폰을 대상으로 하고 있어, 이번 기획 주제를 아이폰 금융보안으로 정했다.

< 순서 >
1. 아이폰의 보안위협과 스마트폰뱅킹
2. 스마트폰 금융 보안 가이드라인 분석
3. 아이폰에서 요구되는 금융 보안기능은?
4. 아이폰 금융서비스의 미래


금융감독원은 작년 12월 초부터 ‘스마트폰 전자금융서비스 안전대책 마련 T/F팀을 구성해 올해 1월 6일 ’스마트폰 전자금융서비스 안전대책‘을 마련했다고 밝혔다. 이번에 발표한 안전대책은 스마트폰을 이용한 금융 서비스에 대한 보안 가이드라인이라고 볼 수 있다. 

최재환 금융감독원 부국장은 “스마트폰이라는 혁신 전자금융서비스의 확산을 지원하는 차원으로 안전대책을 마련했으며 강제적인 조치라기보다는 스마트폰 활성화에 초점을 맞춘 조치라고 할 수 있다”면서 “다만 스마트폰 금융서비스가 새로운 신기술이다 보니 정보보호에 대한 우려가 많아 보안 기술을 견인할 수 있도록 유도하도록 이 같은 대책을 마련했다”고 설명했다.

즉, 이번 안전대책은 보안조치에 대한 규정이라기보다는 활성화를 위한 가이드라인을 제시하는데 목적이 있다는 설명이다. 따라서 가급적 기술적인 부분은 유연성 있게 금융사에게 맡긴다는 계획이다. 또한 T/F팀은 대책을 마련한 후에도 해산하지 않고 지속적으로 스마트폰 보안 취약점을 모니터링 할 방침이다.

다단계 가입자확인을 통해 전자금융서비스 가입절차를 강화
일단 다단계 가입자 확인 절차는 은행의 자율을 존중하는 차원에서 특별한 기술적인 조치를 언급하지 않았다고 설명한다. 따라서 이미 제시된 ‘1단계 확인(ID·비밀번호 등) → 2단계 확인(일회용비밀번호 등) → 3단계 확인(공인인증서 등)’ 부분은 하나의 예시라는 것.

그러나 스마트폰 뱅킹에서 가입자 확인 절차는 초기 1회만 수행하기 때문에 여러 단계의 확인절차를 거치도록 한다는 데 의미를 두고 있다. 따라서 아이디와 패스워드를 통한 로그인 후에 2팩터 인증(two-factor authentication)을 추가로 거쳐야한다. 가령 OTP(One Time Password)공인인증서나 실적거래 조회 및 보안카드, 계좌비밀번호 등등 각 금융사마다 인증하는 방법을 다르게 할 수 있다는 설명이다. 금융감독원 측은 아직까지 다단계에 대한 범위를 명시하진 않아 은행 자율에 맡긴다는 방침이지만 향후 보안 위협에 따라 추가 논의의 여지는 있다고 설명한다.

최재환 부국장은 “다단계 가입자 확인은 초기 한번만 진행하는 인증이기 때문에 불편하지만 보안성강화를 위해 꼭 필요한 부분”이라며 “초기 T/F 팀 구성시에 보안전문가 뿐 아니라 업무 비즈니스 전문가도 함께 참석해 보안성과 서비스 활성화의 측면에서 조율을 거쳤다”고 설명한다.   

기술적 침해대응 부문, 주요정보 스마트폰 저장금지
‘나’ 항의 기술적 침해대응 부문은, △스마트폰과 금융회사간의 통신 암호화와, △입력정보 보호 대책 적용, △스마트폰에 주요 정보 저장 금지, △악성코드예방 대책 적용, △전자서명법과 전자금융법에 의해 거래사실의 부인 방지를 위해 전자서명 등 이용을 골자로 하고 있다. 그러나 논란의 여지가 있는 부분은 공인인증서를 주요 정보로 봐야할 것 인지이다.
 
그러나 금융감독원 측은 공인인증서는 주요정보에서 제외된다고 설명한다. 현재 스마트폰 뱅킹을 구현하기 위해서는 공인인증서를 저장해야만 하기 때문이다. 즉, 여기서 말하는 금융주요정보는 이체 내역이나 송금 계좌번호 등 실재로 발생한 거래 내역에 대한 것이라고 덧붙인다. 그러나 보안카드와 같은 금융정보를 스마트폰에 저장하는 것은 사용자 과실에 해당하는 사항이기 때문에, 사용자가 과실을 범하지 않도록 하는 캠페인도 지속적으로 진행한다는 방침이다.

또 하나 논란이 되는 부분은, 바이러스나 악성코드에 대한 예방 대책이다. 아이폰의 경우, 자체적으로 제공한 애플리케이션을 제외하고는 하나의 실행만 가능하도록 제한하고 있다. 따라서 실시간 백신을 이용하도록 하는 것은 힘들다는 의견이 제시되고 있다.

다양한 스마트폰에서 악성코드가 발견되고 있고 아이폰을 타깃으로 한 악성코드도 점차 늘고 있다. 현재 아이폰의 기능 제한을 해제한 비정상적인 이용인 ‘탈옥(jailbreak)’ 상태에서의 악성코드는 발견된 바 있지만 정상적인 아이폰에서는 악성코드가 발견되지 않고 있다. 그러나 전문가들은 탈옥을 하지 않은 정상적인 상태에서도 애플리케이션에 악성코드가 내재돼 있을 수 있다는 가능성을 내비치고 있어 악성코드 예방 대책에 대한 논란은 적지 않을 것으로 보인다.

그러나 한 보안전문가는 “아이폰은 웹상에서 실시간으로 이용하는 애플리케이션보다 다운받아 이용하는 구조로 돼 있기 때문에 아직까지는 실시간 백신이 아니라도 충분히 보안효과가 있을 것으로 보인다”고 설명하면서 “그러나 향후 실시간 백신을 위해 애플과의 협의는 꼭 필요할 것”이라고 주장했다.

최재환 부국장은 “악성코드 예방 대책에 꼭 백신을 이용하라는 규정을 둔 것은 아니기 때문에 백신 외에 방화벽과 같은 다양한 보안 기술로 악성코드 예방 기능을 적용하면 될 것”이라고 말했다.

취약점 모니터링 부문
서비스 제공 금융회사는 자체 보안전문인력, 정보보호전문기관 등과 협력하여 취약점 분석 및 대응을 위한 상시모니터링 체제를 구축하도록 하고 있다. 현재 인터넷 뱅킹에서도 적용되고 있는 부분으로, 금융회사 자체로 팀을 만들던지 서비스하고 있는 업계자 전문가를 통해 모니터링 체계를 구축하라는 설명이다. 그리고 스마트폰 전자금융서비스 안전대책 마련 T/F팀이 대책 마련으로 해산하지 않고 지속적으로 취약점 모니터링을 실시하고 금융보안연구원에서 기술적인 보안취약점 분석해 지원할 계획이라고 설명했다.

아이폰을 통한 스마트폰의 활성화는 인터넷뱅킹과 모바일 뱅킹에 이어 새로운 사이버뱅킹 시장을 열고 있다. 현재 아이폰 관련 커뮤니티에서는 스마트폰 뱅킹 지원에 따라 주거래 통장을 바꾸려는 의사가 있다는 이야기가 적지 않게 들리고 있을 정도로, 시장에서의 스마트폰 뱅킹에 대한 기대는 매우 크게 확산되고 있다.

이번 대책을 발표하면서 금융감독원은 상당히 조심스럽게 자율적이고 능동적인 보안강화를 내비치고 있다. 그리고 이번 대책에서는 신규서비스의 활성화와 보안강화 사이에서의 타협을 위한 고민이 엿보이고 있다. 이제는 공이 금융업계로 넘어갔다. 감독원은 신규서비스에 있어 자율성을 강조한 대책이라고 설명하고 이번 대책으로 금융권이 스마트폰 금융 보안 솔루션 기술 개발을 견인하길 기대하고 있다. 이는  금융권에서 다양한 보안 솔루션 개발로 보안 강화 경쟁을 이끌어 스마트폰의 전반적인 보안성 강화로 이어지길 바란다는 의미가 내포돼 있다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>