|
인터넷 은행에 대한 관심에는 기대와 우려가 공존한다. 눈에 보이지 않는데 절차까지 간소하니 금융이 이렇게 쉬워도 되나 싶다. 쉬움과 안전은 양립할 수 있는 것일까. 김승주 고려대학교 정보보호대학원 교수는 “양립할 수 있다”고 단언한다. “보안기능은 돌아가고 있는데 사용자에게 보이지 않을 뿐”이라는 것이다. 카카오뱅크 외부 보안 자문위원으로 활동하는 김 교수를 통해서 인터넷 은행 보안 현주소를 엿봤다. 인터뷰는 20일 연구실에서 했다.
20년 넘게 정보보호 분야에 종사한 김 교수는 “카카오뱅크가 안전하다고 단언하지는 못하지만, 인터넷 뱅킹보다는 나은 것은 확실하다”고 말했다. 그가 1998년부터 6년 동안 한국정보보호진흥원(현 한국인터넷진흥원)에 있으면서 공인인증서 도입에 한몫했던 터라서 허투루 넘길 진단은 아니었다.
인터넷 뱅킹은 공인인증서를 기반으로 구동하는데, 카카오뱅크를 포함한 인터넷 은행은 휴대전화로 작동하는 것이 차이라고 했다. 카카오뱅크는 인증서를 휴대 전화에만 한정해서 저장한다. 요즘은 생체정보를 기반으로 휴대전화 잠금을 풀기 때문에 ‘최악의 상황’이 아니라면 타인이 접근하기 어렵다. 반대로 인터넷 뱅킹 인증서는 컴퓨터나 이동식저장매체 등 저장 공간이 다양하다. 비밀번호를 알면 본인이 아니라도 접근할 수 있다. 여러 방향에서 다양한 방법으로 접근 가능한 게 인터넷 뱅킹이라고 했다.
그는 “성을 지을 때 입구를 좁게 하는 이유는 공격받을 지점을 한정하려는 것이다.”며 “카카오뱅크는 휴대전화에 집중해서 대응하면 된다”고 설명했다. 카카오뱅크 인증서 저장공간을 휴대전화에만 한정했더니 덩달아 은행이 쉬워졌고 휴대전화 사용이 쉬운데 은행 사용이 어려울 리 없다는 것이다.
카카오뱅크 사례로 보면 인터넷은행이 간편함만 추구한 것은 아니었다. 개발 단계에서 OTP(One Time Password)를 도입하지 않으려다가 격론 끝에 채택했다고 한다. 지점이 없는 카카오뱅크가 OTP를 발급하고 관리하는 데 어려움이 있었다. 그러나 “보안을 위해 OTP는 가져가야 한다”는 보안팀 의견을 반영했다. 이렇듯 개발 단계부터 보안을 앞세운 것은 카카오뱅크 존립과 관련한 것이기 때문이었다. 김 교수는 “카카오뱅크가 기존 은행과 다른 점은 설계부터 위험 모델링(treat modeling) 기법을 적용해 보안과 개발팀이 함께 고민했다”고 말했다. 보통은 개발이 먼저 가면 보안이 따라가는데 카카오뱅크는 보안과 개발이 같이 갔다고 했다.
결국 ‘불편했다가 편해지니 불안한 것’이라는 게 김 교수 판단이다. 그는 “우리는 불편함에 훈련돼 있었던 것”이라고 했다. 불편하면 안 쓰면 되는데 극복하려 했다는 것이다.
김 교수는 “필요한 거를 넣을 때는 쓸모없는 것을 빼야 하나”며 “그런 고민이 없다 보니 절차가 늘어난 것이다”고 언급했다.
불편함을 떨쳐내지 않으면 시중은행의 ‘카뱅 따라잡기’는 흉내에 그치리라 했다. 시중은행은 불편을 개선하려고 하는 것이지 불편을 없애려고 하는 게 아니기 때문이라고 했다.
그는 “인터넷 은행 도입으로 금융 패러다임이 변한 것”이라며 “그런데 기존 금융은 변하지 않았고 변하려고 하지 않고 있어 고객이 변하면 된다. 변화를 받아들이면 눈에 보이지 않아도 두렵지 않을 것이다”고 강조했다.





