국내 1호 인터넷전문은행 케이뱅크가 흥행 돌풍을 일으키고 있다. 계좌 개설이 빠르고 시간과 장소에 구애받지 않는 등 편리성 면에서 각광받으며 영업 개시 일주일 만에 가입자가 15만 명을 넘어섰다. 하지만 상당수 국민은 모바일 금융거래에서 보안 문제를 가장 우려하고 있다. 금융권에 따르면 케이뱅크는 액티브X의 쌍둥이라 부르는 exe 보안프로그램을 사용하고 있으며, 약 9종의 보안프로그램 설치를 권장한다.
4월 12일 금융보안 전담기관으로 금융보안서비스를 제공하는 금융보안원의 허창언 원장(사진)을 만났다. 케이뱅크 출범에 앞서 몇 차례 보안 점검을 했다는 허 원장은 “실명확인보안성 테스트와 이상금융거래탐지 시스템을 24시간 가동해 인터넷전문은행의 보안을 강화했다”며 “완벽하다고 장담할 수 없지만 국민이 우려할 만한 수준은 아니다”라고 말했다. 허 원장으로부터 4차 산업혁명 시대 금융보안의 구체적 모습과 미래에 대해 들어봤다.
이상금융거래탐지 시스템 24시간 가동
▼케이뱅크의 보안 안전성이 충분히 확보됐다고 보나.“모든 금융회사가 신규 전자금융거래를 할 때는 금융보안원에서 사전 컨설팅을 받아야 한다. 케이뱅크도 출범을 앞두고 보안 전문인력을 파견, 실명확인보안성 테스트 등 사전점검을 했다. 여기에 케이뱅크 자체적으로 이상금융거래탐지 시스템을 운영한다.
문제가 생기면 그 즉시 금융보안원에 통보된다. 그리고 이 정보는 금융보안원에서 운영하는 이상금융거래탐지 시스템을 통해 전 금융 회원에게 실시간으로 전달된다.”
▼외국은 비대면 거래를 어떻게 보호하나.
“외국도 비대면 거래를 위해 비대면 실명 확인을 강화하고 있다. 미국은 위험을 고려해 금융회사가 실명 확인 방식을 자율적으로 선택하도록 했다. 호주는 주민등록상 주소, 운전면허증 번호를 제출해 실명 확인을 한다. 프랑스는 금융회사 직원이 고객과 영상통화를 하면서 안면인식 기술을 통해 고객 사진과 실제 얼굴을 일일이 대조한다.”
▼외국의 인터넷전문은행 현황은?
“지난해 기준으로 인터넷전문은행이 미국 19개, 유럽연합(EU) 22개, 일본 8개, 중국 2개였다. 미국 찰스슈와브은행은 로보어드바이저(robo-advisor)가 고객 포트폴리오를 구성하고 이를 모니터링해 포트폴리오 재구성까지 전 과정을 자동으로 실행하는 자산관리 서비스를 제공하고 있다.”
▼벌써 비대면 중고거래 사기 범죄가 발생했다.
“최근 비대면 중고거래 사기 사건은 기술적 보안 대책이 미흡해서가 아니라 계좌 개설 시 사기전과 확인 같은 절차적 보안이 부실해 발생한 것으로 안다. 앞으로 금융회사는 계좌 개설 시 범죄이력 등 부가적인 신원 확인 절차도 특별히 마련해야 한다.”
▼비대면 거래 증가에 따른 보안의 방향은?
“비대면 실명 확인 방식은 바이오인증 등 신기술을 기반으로 확대될 것이다. 비대면 거래로 발생할 수 있는 부정거래를 방지하는 이상금융거래탐지 시스템은 빅데이터 분석, 인공지능 같은 기술과 접목돼 발전할 것이다. 보안 분야에서는 신기술 적용으로 생길 수 있는 보안 취약점에 관한 연구가 활발히 이뤄질 것으로 예상된다.”
▼생체정보는 유출되면 파기나 재발급이 불가하다.
“지문(指紋) 같은 생체정보는 시간이 흘러도 변하지 않는다. 생체정보는 비밀번호처럼 변경이 어렵기 때문에 유출될 경우 지속적으로 악용될 개연성이 매우 높다. 생체정보를 이용한 본인 인증은 클라이언트(특정 프로그램을 사용하는 컴퓨터 또는 소프트웨어) 저장 또는 서버 저장 방식으로 나눌 수 있다. 만일 대량의 고객 생체정보가 서버에 집적돼 있고 해당 서버가 해킹될 경우 생체정보가 유출되는 사고가 발생할 수 있다.”
▼생체정보 유출 방지를 위한 대처법은?
“생체정보를 적절히 분산해 저장하거나 클라이언트 단말기 내 안전한 저장 공간에 보관하는 것이 무엇보다 중요하다. 또한 고객의 생체정보가 통신망을 통해 서버로 전달될 때 해킹으로 유출될 수 있으므로 통신 구간 내 암호화 등 기본적인 보안 대책을 세워야 한다. 유출된 생체정보만으로 본인 인증을 통과할 수 없도록 다수의 생체정보를 동시에 사용하려는 움직임도 있다. 예를 들어 지문, 홍채, 음성 등을 동시에 사용하는 방식과 생체정보인 홍채 인증서와 일반 비밀번호를 혼합해 사용하는 방식도 고려해볼 수 있다.”
화이트해커 양성 콘텐츠 개발
▼해킹 위협에 어떻게 대비하고 있나.
“금융 해킹 위협에 대비하고자 통합보안관제센터를 운영하면서 해킹 위협 탐지-분석-대응 프로세스를 통해 24시간 365일 모니터링을 하고 있다. 쉽게 말해 은행, 증권, 보험, 캐피털 등 우리나라 금융회사 전산시스템에 악성코드 유포나 해킹 시도 등 위협이 발생하는지를 연중 감시하고 있다. 금융권을 대상으로 악성코드 감염 등이 발생한 경우 전문인력이 출동해 현장 분석을 실시하고, 공격에 사용된 악성코드 정보 등을 각 금융회사에 신속히 전파한다.”
▼국내 금융보안 전문인력 양성은?
“금융보안 전담기관으로서 금융권 정보보호 전담인력 양성 및 금융보안 인식 제고를 위해 체계적이고 특화된 교육을 실시하고 있다. 지난해 오프라인 교육 인력 1800명, 온라인 교육 인력 140만명이 수료했다. 올해는 화이트해커 양성에 필요한 훈련 콘텐츠를 개발할 계획이다.”
▼4차 산업혁명 시대 미래 금융의 모습은?
“인공지능, 빅데이터 기술, 블록체인, 클라우드 컴퓨팅 등 4차 산업혁명 시대를 대표하는 정보기술(IT)이 금융서비스에 접목될 것이다. 미래학자 브렛 킹이 예언했듯, 앞으로 은행 지점에서는 사람이 아닌 로봇이 고객을 상대하고 전자상거래 포털 알리바바 등 비금융회사가 은행 기능을 수행할 전망이다. 국내 금융권에서도 인공지능 기술을 자산관리 서비스에, 빅데이터를 고객 신용평가에, 블록체인을 비대면 실명 확인 증빙자료 등에 활용하는 등 새로운 기술을 다양한 금융거래에 접목하기 위한 준비를 적극적으로 하고 있다.”