[은행없는 은행이 온다] <4회> 성공 열쇠는 보안

'비금융의 금융화'는 독이 든 성배

'보안' 깨지면 정보유출 이상 파장

이통사서 SNS 사업자까지 지급결제 시장에 진출 러시

개인정보 여러곳 축적 불가피… 대형 금융사고 노출 전전긍긍

해킹·범죄수법 갈수록 고도화… 영업에 앞서 보안망 구축 필요

지난 1월 김연성(가명)씨는 은행 계좌에서 자신도 모르게 월 1만9,800원이 대리운전 기사용 애플리케이션 서비스업체인 A소프트로 자동 이체된다는 통보를 받고 깜짝 놀랐다. 자신이 대리기사도 아니고 이 앱을 이용한 적도 없는데 생긴 일이었다. 검찰 수사로까지 이어진 이 사건은 결국 소비자-금융결제원-은행-업체 등으로 이어지는 자금관리서비스(CMS)의 허점을 이용한 사기극으로 판명 났다. 그나마 익일 결제 시스템이 도입돼 있어서 실제 피해로는 이어지지 않았지만 국내 전 금융회사의 네트워크인 금융결제원이 금융 사기에 농락당할 뻔한 초유의 일이었다.

이 사건은 '은행 없는 은행'이 가지고 있는 리스크를 단적으로 보여주는 사례다. CMS는 고객들이 통신요금 등 주기적으로 내야 하는 각종 요금을 매번 은행을 방문하지 않고도 제삼자인 대행업체를 이용해 한 번의 신청으로 납부할 수 있도록 만들어놓은 시스템이다. 은행과 고객들 모두에게 매우 편리하지만 '제3자'인 자금관리사업자가 은행과 고객 사이에 개입되다 보니 금융 사고가 일어날 개연성은 커질 수밖에 없다. 비금융의 금융화가 급속하게 진행되면서 고객의 금융 접근성이 그만큼 발달하고 있지만 이에 비례해 금융회사의 리스크도 더욱 커지고 있는 셈이다.

결국 '은행 없는 은행'은 '독이 든 성배'라고 할 수 있으며 그 성공 열쇠는 '보안'에 달려 있다고 볼 수 있다.

◇금융사기 가장 허약한 곳을 파고든다=비금융의 금융화가 가장 치열한 대표적인 영역은 지급결제 시장이다. 전자지급 수단을 통한 결제는 지급과 동시에 결제가 완료되는 현금에 비해 복잡한 과정을 거치며 필연적으로 다양한 제3의 업체를 필요로 한다. 예컨대 신용카드로 인터넷에서 구매한 물품의 대금을 지급하기 위해서는 신용카드 승인을 위한 정보 송수신, 대금정산과 같은 절차가 필요하며 이 같은 업무를 수행할 업체들이 시장에 진입하게 된다. 최근에는 이동통신사, 휴대폰 제조사, 소셜네트워크서비스(SNS) 사업자들까지도 지급결제 시장에 진출하다 보니 금융업의 파생 영역은 더 넓어졌다. 이 과정에서 고객의 개인정보나 결제정보는 불가피하게 여러 곳에 축적되고 정보 유출의 우려는 갈수록 커지고 있다. 여기에 은행권에도 인터넷 및 폰뱅킹, CMS를 통한 자동이체, 기업을 대상으로 한 펌뱅킹 등이 활성화되다 보니 금융 당국은 언제 어디서 대형 금융사고가 터질지 몰라 전전긍긍하고 있다.



문제는 금융 사고를 일으키는 범죄 수법이 고도화된다는 점이다. 금융 선진국 미국만 해도 금융권이 해커집단들의 공격 목표가 된 것은 어제오늘 일이 아니다. 2012년에는 JP모건, 뱅크오브아메리카(BoA), 시티그룹, 웰스파고 등 대형은행의 시스템이 분산 서비스 거부(DDos·디도스) 공격을 받아 이용자들이 계좌에도 접근하지 못하는 대형 금융사고가 일어났다. 국내 상황도 별반 다르지 않다. 당장 지난해 말 1억여건의 개인 정보가 유출됐고 이 정보는 대출 중개업자와 해커, 보이스 피싱 조직에 흘러나간 것으로 추정된다. 5월에는 스마트폰 개인 정보를 해킹해 다른 스마트폰에서 모바일 앱카드를 개설하고 결제를 하는 신종 금융 사고도 발생했다. 통신사들의 개인 정보 유출사고까지 이어져 사실상 전 국민의 개인정보가 이미 노출돼 있는 상황이다.

◇'은행 없는 은행'은 독이 든 성배…금융 신뢰 통째로 흔들 수도=이런 상황에도 금융보안은 아직 '은행 없는 은행'을 구현할 만큼 성숙되지 않았다. 최고 경영진들의 인식 속에서도 여전히 '보안'은 '영업'만큼 중요한 이슈가 아니다. 한 시중은행장은 "전 국민의 관심사로 떠오른 이른바 '카톡뱅킹'만 하더라도 편리성은 훨씬 커지겠지만 조그만 문제만 발생해도 신뢰의 문제가 금융권 전체로 확대될 수 있고 파장은 1억건 개인 정보 유출 이상이 될 수 있다"고 경고했다. 김영린 금융보안연구원장도 "보안이 아직 금융권의 문화로 받아들여지지 못하고 있다"고 지적했다. 금융사고가 자주 일어난 카드업계와 달리 은행권에서는 이상 거래를 감지하기 위한 이상금융거래탐지시스템(FDS)도 아직 구축되지 않았다. 성재모 금융보안연구원 본부장은 "금융회사들의 비대면 거래가 급증하면서 수많은 제3의 업체들이 금융권에 진입하고 있고 이에 따른 보안 위험성은 더욱 커지고 있다"며 "앞으로 이 부분의 위험성을 해소하는 것이 은행의 숙제"라고 말했다.