[금융IT포럼]임종인 교수 "대포통장 퇴출, 일회용 비밀번호 쓰자"

[아시아경제 박연미 기자]

임종인 고려대학교 교수

"올해 초 은행권 전산망 마비사고와 국정원까지 해킹당했던 6·25 사이버 테러 기억하실 겁니다. 개인정보 875만건이 유출된 KT 사건은 천문학적인 배상금을 두고 아직도 소송 중이에요."

임종인 고려대 정보보호대학원 교수는 8일 "전자금융거래의 보안 사고를 막으려면 거래에 연동되는 일회용 비밀번호(OTP)를 쓰고 대포통장을 뿌리 뽑아야 한다"면서 이렇게 말했다.

임 교수는 이날 오전 여의도 중소기업중앙회관에서 열린 금융IT포럼에 참석해 '소비자 보호와 전자금융의 미래'를 주제로 기조 연설을 하면서 "대형 보안 사고를 막으려면 보안 설계 과정부터 5단계의 방어막을 촘촘히 쌓아야 한다"고 조언했다. ▲보안설계를 강화하고 ▲강도 높은 사전 영향 평가를 진행하며 ▲지속적인 보안관리로 실시간 대응력을 높이는 한편 ▲정보보호 능력을 강화하고 ▲사후 책임을 제대로 물어야 한다는 내용이다.

임 교수는 이 과정에서 특히 "정보 보호를 위한 장치가 필수적"이라고 말했다. 그는 "시스템 설계 단계부터 보안 문제를 고려해 위험 관리를 시작하고 기술과 정책, 전문 인력 충원 등으로 방어망을 쌓아야 한다"고 덧붙였다.

임 교수는 이를 위해 '거래에 연동되는 일회용 비밀번호(OTP)' 사용을 제안했다. 그는 "메모리 해킹 등 현재의 보안 수단만으로는 대응하기 어려운 전자금융사기를 막기 위해 거래 연동 OTP처럼 보안이 강화된 인증 수단을 도입해야 한다"고 강조했다. 전자금융 감독규정 시행안에 따라 지금도 이체 한도가 늘어나면 보안 절차가 까다로워지지만 OTP 보급률은 30% 아래다. 그나마 OTP도 해킹 안전지대는 아니라는 비판이 있다.

임 교수는 이 점을 지적하며 "거래 관련 정보를 입력해 정보를 검증하고 이걸 바탕으로 일회용 비밀번호를 만들어 내는 방식으로 OTP 인증을 강화할 필요가 있다"고 했다. 그는 "다소 번거롭다는 지적이 있지만 보안 강화를 위한 인증 수단이 널리 확산되도록 감독기관과 금융회사의 적극적인 독려도 필요한 상황"이라고 말했다.

임 교수는 아울러 "대포통장을 뿌리 뽑아야 한다"고 목소리를 높였다. 그는 "금융 사기를 막으려면 그 수단이 되는 대포통장이 사라져야 한다"면서 "감독당국은 금융회사 감사를 통해 대포통장 개설 여부를 가리고, 적발되면 강력히 제재해 금융권 스스로 움직이게 해야 한다"고 권고했다.

임 교수는 마지막으로 금융회사의 사회적 책임이 점점 무거워지고 있다는 점을 환기했다. 그는 "철벽수비로도 막지 못하는 신종 금융 사기나 보안 사고는 언제든 발생할 수 있다"면서 "금융회사들이 보험이나 공제회에 가입하고 충분한 준비금을 쌓아둘 필요가 있다"고 말했다.

임 교수는 "올해 8월까지 발생한 전자금융 사기 피해액만 440억원에 육박하는데도 소송 끝에 소비자들이 보상받은 금액은 피해액의 30%에 그치는 게 현실"이라면서 "사안의 성격은 다르지만 동양 사태 등으로 금융회사의 사회적 책임에 대한 기준이 높아진 만큼 전자금융거래법 개정안을 손질해 고객의 손해에 배상 책임을 다한다는 자세와 지급 여력을 갖춰야 한다"고 덧붙였다.

박연미 기자 change@asiae.co.kr