금융당국과 카드업계는 앱카드 보안기술 확보를 위한 전문용역을 발주하는 한편 하반기까지 '2채널 인증' 등의 방식을 중심으로 스마트폰 결제 시스템 보안대책을 강화하기로 했다. 2채널 인증이란 인터넷과 전화 또는 전화와 팩스처럼 두 개의 서로 다른 경로(채널)를 통해 본인을 인증하는 방식을 말한다.
25일 금융당국에 따르면 금융보안연구원은 지난 23일 삼성·신한·현대카드 등 앱카드를 도입한 6개 카드사와 함께 '앱카드 보안성 향상을 위한 대응기술 연구' 용역을 발주했다.
금보원과 카드사들은 이번 용역을 통해 이번에 문제가 된 앱카드의 보안 취약점을 철저히 분석하고 대응방안을 마련할 계획이다.
금보원의 한 관계자는 "앱카드에 사용되는 인증기술의 특성을 확실하게 파악하고 온라인 결제시 신뢰성을 제공할 수 있는 다양한 본인인증 기술의 연구 및 발굴이 이번 용역의 주목적"이라고 밝혔다.
금융당국은 앞으로 앱카드 등 전자금융거래 시스템의 인증체계에 '2채널 인증' 방식 등을 의무적으로 도입하는 방안을 검토하고 있다.
이 같은 방식을 도입하면 개인정보가 도용되더라도 타인의 스마트폰에 앱카드 등이 복제되는 일은 어려워진다. 다만 소비자 입장에서는 프로그램이나 앱 설치 과정 등이 더욱 복잡해질 수 있다. 금융당국 보안담당 관계자는 "컴퓨터에서 전자금융거래를 한다면 스마트폰으로 추가 인증을 받고 스마트폰에 하고 있다면 유선전화를 통해 인증 받는 방법이 있을 수 있다"며 "절차는 좀 더 복잡해지겠지만 현재로서는 2채널 인증 방식을 강화하는 것이 전자금융 해킹 피해를 막기 위한 가장 효율적 방법"이라고 설명했다.
당국은 스마트폰 금융 앱을 개발 또는 사용할 경우 이용자의 안전성을 확보할 수 있는 안전 가이드라인도 다음달 중 마련한다. 이 가이드라인은 △설계개발 △설치이용 △시스템 관리 등 단계별로 모바일금융이 갖춰야 할 기본적 조건을 명시하는 것이다.
다만 스미싱을 막을 방법과 관련해서는 여전히 뾰족한 방법이 없다며 손을 놓고 있다. 모든 전자금융 사기는 스마트폰 등에서 스미싱을 통해 개인정보가 빠져나가는 것에서부터 시작하지만 현재의 안드로이드폰 운영체계에서는 이를 막을 방법이 전무하다.
당국의 한 관계자는 "안드로이드폰의 스미싱만 막을 수 있다면 전자금융 사기 피해를 획기적으로 줄일 수 있겠지만 이는 스마트폰 제조 및 통신사 등이 구글 등과의 협력을 통해 해결해야 할 문제"라며 "금융당국 입장에서는 이를 원천적으로 막을 방법을 찾기는 어렵다"고 말했다.
한편 삼성카드 앱카드 명의도용 사고 이후 당국은 다른 카드사들을 대상으로 추가 피해 사례가 없는지 집중 조사에 나섰으나 아직까지 추가 피해는 발견되지 않은 것으로 나타났다. 금융감독원은 앱카드가 본격 상용화된 지난해 9월부터의 카드 사용 흐름을 모두 면밀히 분석하고 있다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
