[스마트폰 뱅킹 Q&A]이것이 궁금하다

 행정안전부는 한국인터넷진흥원(KISA), 금융결제원 등과 함께 5일 스마트폰으로 전자결제를 할 수 있는 공인인증서 이용 표준을 마련해 고시한데 이어 관련 소프트웨어(SW)를 개발해 4월부터 스마트폰으로 인터넷뱅킹 서비스를 제공할 계획이라고 21일 밝혔다.

하나의 공인인증서로 은행, 증권사 등에 상관없이 자유롭게 이용할 수 있는 스마트폰 표준기술(국제표준 준용)을 마련하는 것이다.

스마트폰으로 인터넷뱅킹을 이용할 경우 현재 공인인증서가 보관된 PC(또는 USB)에서 스마트폰에 공인인증서를 한번만 복사해 저장하면 바로 사용할 수 있게 된다.

이렇게 되면 스마트폰을 이용해 계좌조회 및 이체 등이 가능하고, 주식 매도 및 매수 등 증권 서비스도 이용할 수 있다.

내달 인터넷뱅킹 서비스 시행에 앞서 궁금한 점을 'Q&A'로 알아보자.

Q. 공인인증서가 액티브X에서만 동작해 스마트폰 뱅킹이 불가능하지 않은가?

A. 스마트폰 등 무선통신 단말기에서는 공인인증서를 이용하는데 전혀 문제가 없다. 현재 PC에서도 공인인증서는 액티브X이외에도 이용이 가능하도록 기술이 개발돼 있다. 농협인터넷뱅킹, 대법원 인터넷 등기소, 국세청 연말정산간소화 서비스 등이 액티브X 없이 공인인증서를 이용할 수 있다.

Q. 외국에서 주로 이용하는 'OTP+SSL'방식이 공인인증서를 대체할 수 없는 이유는?

A. OTP는 사용자 인증에 사용되는 단순한 패스워드이고, SSL은 암호화 통신기능을 제공하는 것으로 공인인증서의 중요한 기능인 부인방지 기능이 없어 공인인증서 기능을 대체할 수 없다.

Q. 해외에서 사용되는 SSL 방식이 국내 암호화 방식 보다 안전한가?

A. 국내 인터넷뱅킹에서 사용하는 암호화 방식은 SSL과 거의 동일한 방식으로 암호화를 수행한다. 하지만 스마트폰의 경우 SSL을 이용하더라도 통신 내용이 유출돼 OTP 등 모든 비밀정보가 공격자에게 유출될 수 있다.

Q. 외국에서 공인인증서를 사용하지 않고 'OTP+SSL'을 주로 사용하는 이유는?

A. 외국은 공인인증서 인프라가 구축돼 있지 않아 인터넷뱅킹 보안대책으로 공인인증서 대신 OTP와 SSL을 사용한다. 하지만 이는 상대적으로 제한된 인터넷뱅킹 서비스만을 제공한다. 미국의 경우 대부분의 은행에서 인터넷뱅킹 실시간 이체는 자행 계좌로만 가능하다. 타행 계좌 이체는 2∼3일 소요되고, 이체 금액 또한 한 달에 6000∼1만 달러로 제한된다.

Q. 외국의 인터넷뱅킹 사고 현황은?

A. 외국은 공인인증서(전자서명)를 사용하지 않고 상대적으로 보안이 취약한 OTP방식 등을 사용하고 있어 실제 사고가 많이 발생한다. 미국 연방예금보험공사(FDIC) 조사에 따르면 지난해 3분기 현재 피싱, 해킹 프로그램 등에 의해 1억2000만 달러의 보안사고가 발생했다. 영국에서도 해킹 프로그램 등에 의해 지난해 상반기 약 3900만 파운드(한화 664억 원)의 보안사고 일어났다.

Q. 공인인증서 의무 사용으로 해외 사용자의 참여를 제한해 글로벌화를 저해하는 것은 아닌지?

A. 국내 공인인증체계는 국제 표준(IETF)을 준용하고 있어, 국가간 공인인증체계 상호인정 및 상호인증을 통해 공인인증체계 연동이 가능하다. 해외에서도 국내 인터넷뱅킹에 접속해 이용이 가능하며, 재외국민의 공인인증서 발급 편의를 위한 방안도 추진 중이다. 다만 SSL과 OTP만으로 국내인터넷 뱅킹은 불가능하다.

Q. 공인인증서 이용시 어떤 보안상의 이점이 있는지?

A. 공인인증서는 공인인증체계를 기반으로 전자서명을 생성하고 검증함으로써 무결성, 부인방지, 사용자 인증 등 종합적인 보안기능을 제공하고 있는 인터넷의 핵심적인 종합 보안대책이다. 전자서명만이 사용자의 거래내역이 변경되지 않았음을 증명할 수 있는 부인방지 기능을 제공한다. 이는 전자금융사고 등 사용자와의 분쟁이 발생했을 때 해당 사용자의 책임을 입증하는 용도로 활용된다.

Q. 공인인증서 해킹사고 현황 및 대책은?

A. 공인인증서의 유출로 인한 해킹사례가 발생(5년간 총 7건)하고는 있으나, 연 1~2건 정도로 미미한 수준이다. 앞으로 PC보다 안전한 스마트카드, 보안토큰 등에 보관하도록 권장할 계획이다.

Q. 전자서명을 사용하지 않는 경우에 금융거래 보안의 문제점은?

A. 해커가 피싱 사이트를 개설해 고객이 접속토록 유도하고, 접속한 고객의 금융정보(계좌번호, OTP 등)을 이용해 불법 금융거래가 가능하다. 이는 거래신청서에 전자서명을 적용할 경우 은행은 고객만이 가지는 전자서명생성정보와 암호학적으로 일치하는 전자서명검증정보와 비교해 불법 금융거래를 사전에 막을 수 있다. 또 고객이 정상거래 또는 제3자와 공모한 거래에 대해 자신이 요청한 거래가 아니었고, 자신의 책임이 없음을 주장하며 은행에게 손해배상을 요청할 수 있다.