保安사고 트라우마… 핀테크 성공 열쇠는 ‘정보 보호’

[‘핀테크’ 금융혁명이 온다]<6>편의성도 보안 전제돼야

크게보기

핀테크(FinTech·금융기술) 금융혁명이 주목받는 이유는 금융거래의 편의성을 획기적으로 높여주기 때문이다. 하지만 금융거래가 아무리 편리해도 ‘개인정보 보호’가 뒷받침되지 않으면 공염불에 불과하다. 이 때문에 금융회사들은 개인정보 보호를 위한 시스템을 새로 도입하고 투자를 늘리는 등 보안 강화에 크게 신경을 쓰고 있다. 전문가들은 한국의 개인정보 보호 수준이 다른 나라에 비해 아직 부족한 수준이라며 법적, 제도적 미비점을 보완하는 노력을 계속 기울여야 한다고 지적했다. 일부 금융회사들에서는 보안 문제를 핑계로 핀테크 도입을 주저하는 ‘보신주의’ 현상도 나타나고 있다.

○ 보안 강화에 나서는 금융권

올해 1월 카드업계에서 사상 최악의 개인정보 유출 사태가 발생하면서 금융회사의 허술한 정보 관리에 대한 비난 여론이 높았다. 이후 금융권도 유사한 사고의 재발을 막기 위해 보안 시스템을 업그레이드하고 전담 조직을 새로 만드는 등 대대적인 투자에 나섰다.

혼쭐이 난 카드업계는 관련 부서를 신설 확대해 운영하고 전문가를 적극적으로 영입하는 등 정보보안에 집중하고 있다. 롯데카드는 정보보안을 강화하기 위해 3월부터 정보보호 전담 부서를 신설해 운영하고 있다. 롯데카드 관계자는 “개인정보 유출 사고 이후로 회사에서는 이동식 저장장치(USB 메모리) 등은 아예 쓸 수가 없게 됐고, 문서 보안도 훨씬 까다로워졌다”고 말했다.

우리은행도 7월 고객의 개인정보 관련 전담 조직인 고객정보보호센터를 새로 만들었다. 이전에는 정보기술(IT)지원센터가 IT 관련 업무와 함께 고객 개인정보 보호 업무를 함께 맡았지만 개인정보 보호에 대한 사회적 관심이 커지며 별도 조직을 신설한 것이다.

신한은행은 고객정보 유출 방지를 위해 외부저장매체(USB 메모리 등)를 이용할 때 정보보안본부의 승인을 받도록 했다. e메일, 팩스, 출력물 등을 외부로 반출할 때에는 개인정보가 담겨 있는지 정보보안본부의 승인권자가 반드시 확인하도록 했다.

증권사와 보험사들도 태블릿PC 등에 저장된 고객정보의 외부 유출을 막고 전자청약서 등의 보안성을 높이기 위해 모바일단말관리(MDM) 솔루션을 도입하고 있다.

금융당국도 대책을 마련하고 있다. 3월에 고객정보 유출 방지 대책을 발표하고, 금융회사에 대한 상시 감독을 강화하겠다고 발표했다. 내년 초 새로운 보안 전담 기구인 금융보안원을 공식 출범시킬 예정이다. 현재 금융결제원과 코스콤에 분산돼 있는 정보공유분석센터(ISAC) 업무를 금융보안원에 집중한다는 계획이다.

○ 편의성 높이되 사후 보안 강화해야

이처럼 금융회사들이 금융보안에 대한 노력을 강화하고 있지만 ‘보안사고 트라우마’에 갇힌 고객들의 불안감은 여전히 가시지 않고 있다. 하나금융경영연구소가 5월에 고객 1000명을 상대로 전자지갑 사용에 대한 설문조사를 한 결과 ‘전자지갑을 단 한 번도 이용해 본 적이 없다’고 말한 응답자가 전체의 39.5%였다. 이 중 50.4%는 ‘개인정보 유출을 걱정하기 때문’이라고 답했다.

금융회사들의 대응도 더디다. 공인인증서 의무 사용이 폐지됐지만 카드업계는 여전히 공인인증서에 의존하고 있는 상황이다. 그나마 삼성카드가 9월에 업계 최초로 공인인증서 외에 자동응답전화(ARS)를 이용한 인증 방식을 도입했다. 한 카드사 관계자는 “괜히 공인인증서 외에 다른 인증 방식을 이용했다가 사고라도 나면 책임 부담이 큰 것이 사실”이라고 말했다.

정보보안에 대한 중요성은 아무리 강조해도 지나치지 않지만 정보 유출에 대한 걱정 때문에 스마트 금융혁명을 외면해서도 안 된다는 게 전문가들의 지적이다. 혁신적 모바일 보안기술을 수용하면서 이용자 편리성을 제고하는 방향으로 가야 한다는 것이다.

박찬암 라온시큐어 보안기술연구팀장은 “스마트폰은 PC와 달리 개인이 늘 지니고 다니기 때문에 관리만 잘하면 더 안전하게 금융 서비스를 이용할 수 있다”며 “다만 서비스를 제공하는 업체들이 사용자를 확보하기 전에 먼저 철저하게 보안설계를 해야 한다”고 말했다.

이를 위해서는 국내 금융보안 시스템의 방향이 ‘사후 보안’ 쪽으로 바뀌어야 한다는 지적이 나오고 있다. 현재 한국의 금융보안 시스템은 철저히 사전 보안에 초점이 맞춰져 있다. 이용자가 온라인에서 물건을 사고 카드로 대금을 결제하려면 주민등록번호를 입력하고, 공인인증서를 발급받고, 키보드 보안 프로그램과 방화벽을 설치하는 등 복잡한 사전단계를 밟아야 한다. 카드의 부정 사용을 사전적으로 막는 시스템이다.

반면 해외에서는 보안에 대한 접근 방식이 완전히 다르다. 미국의 페이팔과 중국의 알리페이는 아이디와 패스워드만으로 결제를 편리하게 하되 결제 이후에 부정 사용 징후가 있는 거래를 찾아내고 문제점을 걸러내는 방식을 채택하고 있다. 유재필 금융보안연구원 책임연구원은 “이상 금융거래 탐지 시스템(FDS)이 강화된 외국은 결제 이후 승인을 잠시 보류한 뒤 시스템을 통해 인터넷 주소(IP 주소), 과거 결제 이력 등을 확인해 부정 거래를 방지한다”며 “우리도 이런 글로벌 기준에 맞게 금융보안 체계를 바꿀 필요가 있다”고 말했다.

< 특별취재팀 >

팀장=신치영 경제부 차장 higgledy@donga.com
팀원=유재동 정임수 김재영 신민기 송충현 박민우 경제부 기자