금융사 앱, 보안수준 실태 조사

금감원, 6월 자가 검사 결과 분석
보안 체계 미흡한 곳은 추가 조사… 당국, 금융사 해킹책임 강화 검토

금융감독원이 보안 허점이 드러난 은행·증권·보험·카드사 등 국내 금융회사의 전자금융거래 서비스 애플리케이션(앱) 보안에 대한 실태 조사에 나섰다. 이달 말까지 금융회사들로부터 자가 검사 결과를 받아서 분석한 뒤 보안 체계가 미흡한 곳에 대해서는 추가 조사를 할 계획이다.

7일 금융당국 및 금융권에 따르면 금감원은 지난달 말 국내 금융회사들에 공문을 보내 스마트폰 앱 위·변조 방지 대책 현황 조사에 나섰다. 이에 앞서 동아일보가 사이버 보안 전문업체 스틸리언에 의뢰해 국내 금융 앱 25개의 해킹 방지 수준을 분석한 결과 10개 앱이 위·변조 탐지 기능을 전혀 갖추지 않고 있는 등 보안 체계가 부실한 것으로 나타났다.

금감원은 금융회사들에 금융서비스 앱 관련 11개 보안 항목에 대한 자가 검사와 자료 제출을 요구했다. 여기에는 동아일보 보도에서 문제가 드러난 앱 위·변조 탐지 기술과 난독화(글자 배열을 꼬아놓는 등 소스코드를 읽기 어렵게 만드는 것) 기술 적용 여부 등이 포함됐다. 또 △휴대전화 임의 개조 탐지 및 차단 여부 △금융정보 전달 과정의 암호화(스마트폰과 금융회사의 서버가 통신을 할 때 내용을 알 수 없도록 암호화 과정을 거치는 것) 여부 △멀티 로그인(스마트폰과 PC 등 다중 매체에서 동시에 같은 아이디로 로그인하는 것) 차단 여부 등에 대한 자가 검사를 요구했다.

전문가들은 금융보안 사고를 막으려면 2014년 6월 개정한 뒤 3년간 그대로인 금융보안원의 ‘스마트폰 전자금융서비스 보안 가이드’를 기술 진화를 반영해 개정해야 한다고 주장하고 있다. 더 근본적으로는 금융보안 감독 체계를 사전 규제 대신 금융회사의 책임을 강조하고 사후 제재를 강화하는 방식의 네거티브 규제로 전환할 필요가 있다고 지적했다. 해킹 기술이 하루가 다르게 진화하는 만큼 필요한 보안 솔루션을 나열해주는 포지티브 방식은 효과를 발휘하기 어렵기 때문이다.

이희조 고려대 컴퓨터학과 교수는 “소규모 핀테크업체들이 참고할 수 있도록 보안 가이드라인은 유지할 필요가 있다. 다만, 가이드라인이 금융회사의 면책 수단이 돼서는 안 된다”고 말했다.

금융당국도 최근 인터넷·스마트폰 뱅킹의 해킹 등에 따른 정보 유출 사고가 발생했을 때 금융회사에 포괄적 책임을 묻거나 소비자 과실의 범위를 줄이는 방안을 검토하기 시작했다. 현행법상 소비자가 금융사고로 피해를 입으면 피해를 직접 입증해야 한다. 또 1인당 배상금이 10만∼20만 원 수준으로 선진국보다 적다.

강유현 기자 yhkang@donga.com