금감원, 6월 자가 검사 결과 분석 보안 체계 미흡한 곳은 추가 조사… 당국, 금융사 해킹책임 강화 검토
금융감독원이 보안 허점이 드러난 은행·증권·보험·카드사 등 국내 금융회사의 전자금융거래 서비스 애플리케이션(앱) 보안에 대한 실태 조사에 나섰다. 이달 말까지 금융회사들로부터 자가 검사 결과를 받아서 분석한 뒤 보안 체계가 미흡한 곳에 대해서는 추가 조사를 할 계획이다.
7일 금융당국 및 금융권에 따르면 금감원은 지난달 말 국내 금융회사들에 공문을 보내 스마트폰 앱 위·변조 방지 대책 현황 조사에 나섰다. 이에 앞서 동아일보가 사이버 보안 전문업체 스틸리언에 의뢰해 국내 금융 앱 25개의 해킹 방지 수준을 분석한 결과 10개 앱이 위·변조 탐지 기능을 전혀 갖추지 않고 있는 등 보안 체계가 부실한 것으로 나타났다.
금감원은 금융회사들에 금융서비스 앱 관련 11개 보안 항목에 대한 자가 검사와 자료 제출을 요구했다. 여기에는 동아일보 보도에서 문제가 드러난 앱 위·변조 탐지 기술과 난독화(글자 배열을 꼬아놓는 등 소스코드를 읽기 어렵게 만드는 것) 기술 적용 여부 등이 포함됐다. 또 △휴대전화 임의 개조 탐지 및 차단 여부 △금융정보 전달 과정의 암호화(스마트폰과 금융회사의 서버가 통신을 할 때 내용을 알 수 없도록 암호화 과정을 거치는 것) 여부 △멀티 로그인(스마트폰과 PC 등 다중 매체에서 동시에 같은 아이디로 로그인하는 것) 차단 여부 등에 대한 자가 검사를 요구했다.
광고 로드중
이희조 고려대 컴퓨터학과 교수는 “소규모 핀테크업체들이 참고할 수 있도록 보안 가이드라인은 유지할 필요가 있다. 다만, 가이드라인이 금융회사의 면책 수단이 돼서는 안 된다”고 말했다.
금융당국도 최근 인터넷·스마트폰 뱅킹의 해킹 등에 따른 정보 유출 사고가 발생했을 때 금융회사에 포괄적 책임을 묻거나 소비자 과실의 범위를 줄이는 방안을 검토하기 시작했다. 현행법상 소비자가 금융사고로 피해를 입으면 피해를 직접 입증해야 한다. 또 1인당 배상금이 10만∼20만 원 수준으로 선진국보다 적다.
강유현 기자 yhkang@donga.com