한국인터넷진흥원(KISA) 직원들이 지난 5월 14일 세계 곳곳에서 발생한 사이버 해킹 공격과 관련한 상황을 주시하고 있다. <사진 : 연합뉴스>

은행원 김상철(가명·27)씨는 올해 초 오전 출근길에 휴대전화 메시지를 보고 깜짝 놀랐다. 자신이 영국에서 1249파운드(약 185만원)를 온라인 쇼핑 결제에 사용했다는 내용을 확인했기 때문이다. 김씨는 최근 1년간 해외에 나간 적이 없다. 종종 해외 쇼핑몰에서 물건을 사는 ‘해외 직구(직접 구매)’에 쓴 카드 정보가 도용(盜用)된 것이다.

김씨의 카드를 도용한 범인은 그 전날 밤 17.95파운드(약 2만6000원)를 먼저 결제했다. 신용카드사의 부정 사용 감시 시스템에 걸리지 않게 일부러 소액을 결제하는 치밀함을 보인 것이다.


인터넷 뱅킹 이용자 17년 간 30배 증가

최근 금융 보안 범죄가 기승을 부리는 이유는 크게 두 가지다. 먼저 핀테크(fintech·금융과 정보기술의 융합) 등 관련 기술의 발전으로 전자금융 서비스 이용자가 크게 늘었다. 한국은행에 따르면 2000년 409만명이던 인터넷 뱅킹(모바일 뱅킹 포함) 등록 고객 수(중복 포함)는 지난 3월 말 기준 1억2532만명으로 30배나 늘었다. 24시간 365일 언제 어디서나 이용할 수 있는 모바일 뱅킹은 국민 10명 중 4명이 사용하고 있다.

문제는 금융의 진화를 보안 기술이 뒷받침하지 못한다는 데 있다. 불과 얼마 전까지만 해도 금융 해킹은 보이스피싱(전화금융 사기)이 주를 이뤘다. 하지만 최근에는 사용자를 가짜 은행 사이트로 유인해 정보를 빼내는 수준을 넘어 스마트폰에 저장된 공인인증서를 빼가고, 정상적인 은행 앱(응용프로그램)을 악성 앱으로 바꿔 해킹하는 사례까지 등장했다.

금융 해킹 피해는 전 세계적인 문제다. 지난해 2월에는 방글라데시 중앙은행이 미국 뉴욕 연방준비은행에 개설한 계좌를 북한이 해킹해 8100만달러(약 910억원)를 빼돌린 사건이 발생하기도 했다. 미국 포털 야후는 2013년 해킹 공격을 당해 10억명의 계정 정보가 유출되는 사고를 겪었다.

금융 보안 사고를 막기 위해선 각 사용자가 백신 프로그램을 설치하는 등 주의를 기울여야 한다. 하지만 이보다 더 중요한 것은 은행·카드사 같은 금융 업체들이 보안 분야 투자를 늘리는 것이라고 전문가들은 지적한다.

온라인·모바일 금융의 대표적인 보안 장치는 ‘이상 거래 탐지 시스템(FDS·Fraud Detection System)’이다. 예를 들어 서울에서 모바일 뱅킹으로 돈을 보낸 고객이 1시간 후 미국 뉴욕에서 다시 모바일 신용카드로 물건을 사면 이를 ‘부정 사용’으로 판정해 거래 승인을 막아주는 기술이다. 미국 온라인 결제 서비스 업체 페이팔 등이 이 보안 장치를 잘 구축해 놓은 것으로 유명하다.

FDS는 스마트폰 정보, 인터넷 주소, 신용카드 결제 정보 등 다양한 데이터를 활용해 정상 사용인지, 부정 사용인지 판별한다. 내 은행계좌에서 그동안 거래 내역이 없고 친·인척 관계도 아닌 사람에게 큰돈을 보내려고 할 때도 보안 시스템이 이를 막아버린다.

한국에는 1997년부터 FDS가 도입됐다. 하지만 피해자들은 “아직도 시스템에 미흡한 부분이 있다”고 주장한다. 한 번에 많은 금액이 결제되는 ‘큰 사고’는 감지할 수 있지만 소액 결제는 놓치는 경우가 많다는 지적이다. 또 오프라인 거래에만 적용되고 아직 모바일 거래를 포함한 온라인 거래까지는 충분히 대응하지 못하고 있는 점도 문제다.


美, 개인정보 유출 땐 엄벌

2013년 미국 유통업체 ‘타깃’은 개인정보 7000만건이 유출됐다고 발표했다. 사고가 공식 확인된 직후 JP모건체이스은행은 ‘타깃 사태’로 피해를 본 회원 200만명 전원에 대해 카드를 새로 발급하기로 하고 즉시 교체 작업에 들어갔다. 신청을 하지 않아도 카드가 재발급됐다. 피해를 당한 고객에겐 이메일로 즉각 통보됐다.

정보 유출이 드러난 날은 금요일이었는데 이 은행은 전체 3분의 1이 넘는 지점이 주말과 야간에도 문을 열어 고객을 응대했다. 카드 정보 유출 책임이 은행이 아니라 유통업체임이 확실한데도 소비자 피해를 최소화하기 위해 발 빠르게 움직인 것이다. 뱅크오브아메리카·웰스파고 등 다른 금융사들도 타깃 사태로 정보가 유출됐을 위험이 높은 카드를 즉시 재발급해 소비자들의 불안을 줄였다.

2014년 국내에서도 카드사 개인정보 유출 사태가 발생했지만, 카드사들의 대응은 미국 기업들과는 사뭇 달랐다. 문제의 카드사들은 신청하는 사람에 한해서만 카드 재발급, 한 달에 300원짜리인 카드 사용 통보 서비스 무료 제공 등을 수습책으로 내놓았다.

두 나라 기업들의 대응 차이는 피해 책임을 묻는 경중에서 갈렸다. 미국의 경우 개인정보 유출 등과 금융 피해에 대한 책임을 해당 기업에 완전하게 지우는 방식으로 대응하고 있다. ‘개인정보 활용은 자유롭게 하되, 유출 책임은 배상 등을 통해 확실히 진다’는 원칙이다.

가령 개인정보가 유출되면 유출 정보 건당 최대 1만6000달러(약 1800만원)의 벌금이 부과된다. 책임자에게는 최대 5년의 징역을 선고할 수 있다. 만약 2개 이상의 법을 위반했을 경우 유출 정보 건당 최대 2만5000달러(약 2800만원)의 벌금이 부과된다. 또 미국 연방거래위원회는 피해 당사자들을 대신해 직접 기업들과 피해 보상에 대한 중재와 합의에 나선다. 사실상 보안 사고가 나면 그 기업은 망하게 되는 셈이다.

반면 한국은 강력한 보호 규정에 갇혀 기업들이 개인정보는 거의 활용하지 못하면서, 정보 유출에 대한 명확한 배상 규정은 없어서 정보 유출 사태가 터질 때마다 소비자만 피해 보는 일이 반복되고 있다. 관련 규정 문제로 기업들이 개인정보를 제대로 활용하지도, 제대로 책임지지도 않는 것이다.


plus point

차세대 금융 보안 기술 ‘블록체인’ 각광


‘비트코인’의 가상 이미지. <사진 : 블룸버그>

금융 거래 등에 대한 해킹 사건이 끊이지 않으면서 차세대 금융 보안 기술 ‘블록체인(blockchain)’은 더 각광받을 전망이다. 블록체인은 기존 중앙 서버에 거래 데이터를 집중해서 보관하던 방식과 달리, 거래 참가자 모두가 거래 데이터를 공유하는 개방형 방식이다. 거래 내역 등의 데이터가 한곳에 몰려 있지 않고 분산돼 있어 보안성이 극대화된다.

현재 블록체인이 적용된 가장 대표적인 사례는 디지털 가상화폐인 비트코인이다. 비트코인은 중앙에 집중화된 거래 장부(帳簿)를 두지 않고 비트코인 사용자 모두가 함께 장부를 관리하도록 했다.

모든 비트코인 사용자는 10분에 한 번씩 네트워크에 접속해 그동안 새로 생긴 거래 내역을 장부에 기록해 나눠 갖는다. 장부에 데이터가 빈 곳이 있으면 다른 사람이 가진 멀쩡한 장부를 복사해 빈 곳을 채우고 위·변조된 장부가 있으면 다른 다수의 장부와 비교해 이를 고치기도 한다.

물론 이 모든 작업은 사용자가 직접 하지 않고, 네트워크에 연결된 컴퓨터가 알아서 처리한다. 10분에 한 번씩 만들어지는 거래 내역 묶음을 블록(block)이라고 하는데, 이 블록이 모여 사슬(chain)처럼 엮여 있다고 해서 이 기술을 블록체인이라고 부르게 됐다.

김종일 기자

  • 목록
  • 인쇄
  • 스크랩
ⓒ 조선경제아이 & economychosun.com