10년째 똑같은 금융권 ‘플러그인 설치’…이번엔 진짜 떼낼까 작성일 04-06 10 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="6H8YwdpXs6"> <figure class="figure_frm origin_fig" contents-hash="3622e93891411fd983b835d0c282c46580bfb7f40fa6c9c2310bf9bf6a51c686" dmcf-pid="PX6GrJUZD8" dmcf-ptype="figure"> <p class="link_figure"><img alt="미리캔버스로 그린 일러스트" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/06/dt/20260406171105137qwjs.png" data-org-width="640" dmcf-mid="8vM5IoqFmP" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/06/dt/20260406171105137qwjs.png" width="658"></p> <figcaption class="txt_caption default_figure"> 미리캔버스로 그린 일러스트 </figcaption> </figure> <p contents-hash="8c039286a1d6072b70e51909ff0c3ec168f72dbaed54f0e07b12843f3bbb9d09" dmcf-pid="QZPHmiu5O4" dmcf-ptype="general"><br> 은행이나 증권사 PC 웹사이트에 접속할 때마다 몇개씩 강제로 깔아야 했던 ‘설치형 보안 소프트웨어(SW)’가 이번엔 진짜 수술대에 오를지 관심이 모인다. 의무 설치가 폐지된 이후에도 사실상 설치가 강제된 상태인데 금융권이 정부의 패러다임 전환 압박에 ‘낡은 방패’를 내려놓을 수 있을지 주목된다.</p> <p contents-hash="6c9a9c34eddccaab623ffcf6e13b6ca438a06b26c095d5639a6fd09494beb571" dmcf-pid="x5QXsn71Ef" dmcf-ptype="general">6일 정보보안 업계와 금융권에 따르면 정부는 최근 국내 금융사의 설치형 보안 SW 폐지를 위한 업권별 의견수렴에 나섰다.</p> <p contents-hash="c2e5701d00188d041ea955844a4cabd7ab3931977f1ccb2d1e87b62a26bc7376" dmcf-pid="ynTJ95kLDV" dmcf-ptype="general">지난해 10월 정부가 발표한 범정부 정보보호 종합대책의 일환이다. 금융기관이 소비자에게 보안 SW 설치를 강요하지 않고 자체 보안 체계를 갖추도록 하는 것이 골자다.</p> <p contents-hash="3ab0eaeb2aef5866e58e29bcb92ca13fb2997c7315651a73ad8ea9eaf3692f6d" dmcf-pid="WLyi21EoO2" dmcf-ptype="general">금융당국은 2015년 이미 방화벽과 키보드보안, 공인인증서 등 금융권에 요구했던 ‘보안프로그램 3종 세트’의 설치 의무를 폐지한 바 있다. 하지만 여전히 이들 프로그램을 설치하지 않으면 서비스를 이용할 수 없다. 금융권이 소비자들에게 사실상 설치를 강제하고 있는 셈이다.</p> <p contents-hash="70886b7cbfcb90a132e1d4afabcd820629b30393e346469cda84f90d1a18f906" dmcf-pid="YoWnVtDgs9" dmcf-ptype="general">금융권은 여전히 설치형 보안 프로그램을 사용하는 이유로 대규모 인프라 변경에 대한 구조적 한계와 새로운 시스템에 대한 안정성 부족 등을 꼽는다. 과거 PC 환경에 맞춰 설계된 인터넷뱅킹과 원장 시스템의 뼈대를 그대로 둔 채 외곽의 방어막만 최신화하는 것은 기술적으로 불가능에 가깝다는 것이다.</p> <p contents-hash="19a480b81930ab6943ce4aa0bbf8fe8d6dc1a580a93e04ca1ef5b5d5a4da7365" dmcf-pid="GCzOofGhDK" dmcf-ptype="general">한 금융권 정보보안 관계자는 “금융당국의 명확한 가이드라인이 나오지 않은 상황에서 선제적으로 시스템을 바꾸는 것에 대한 부담도 있다”며 “이미 검증된 기존의 시스템을 뒤엎었을 때 발생할 수 있는 문제에 대한 우려 때문”이라고 설명했다.</p> <p contents-hash="66dd90ef43554075df221b210eb15fce44535c9ae32ea6cc95d45a1c5a42edb4" dmcf-pid="HhqIg4HlIb" dmcf-ptype="general">하지만 일각에서는 설치형 SW가 보안 사고에 대한 책임을 사용자에게 전가하기 위한 수단이라고 본다. 프로그램 설치만으로 금융사가 보안 의무를 다한 것으로 인정되면서 사고 발생 시 면책 요인이 될 수 있다는 것이다.</p> <p contents-hash="69d1012ebf298bcba83457fcd8b1e9a69f5f30ef4e94cf03daab2c8eadd30bb5" dmcf-pid="XlBCa8XSrB" dmcf-ptype="general">고객 보호를 명분으로 강제해 온 SW가 오히려 보안에 치명적인 약점이 될 수 있다는 지적도 나온다.</p> <p contents-hash="585f2e4b51fb48f52e8a1ba45c3c2203bd92f1985b9fe33af129a8521f489784" dmcf-pid="ZSbhN6ZvEq" dmcf-ptype="general">국내 대다수 금융기관이 필수로 채택한 키보드 보안 프로그램 ‘터치앤키’에서 과거 취약점이 연달아 발견되기도 했다. 국내 한 금융 보안 SW는 웹 브라우저의 보안 구조를 우회한 시스템 기능을 수행하도록 설계돼 최신 웹 보안 메커니즘과 충돌한다는 연구 결과도 보고됐다.</p> <p contents-hash="ddb6b4820c8e307d15f08ed5e71d8b645ee68d39e50ad5e36161ff64c4c59cc0" dmcf-pid="5vKljP5TOz" dmcf-ptype="general">다른 금융권 보안 관계자는 “설치형 보안 SW는 고객의 기기 환경에 따라 정상 작동 여부가 달라질 수 있고, 특정 OS나 브라우저에서 오히려 접근성을 저해하는 경우도 있다”며 “보안의 실효성을 고객 환경 변수에 맡기는 것보다 금융회사가 통제 가능한 서버 측에서 책임지는 구조가 법 취지에도 부합한다”고 설명했다.</p> <p contents-hash="6b9c968e333884d5df8966164510346e059a9d128e990483e82e4911491e389e" dmcf-pid="1T9SAQ1ys7" dmcf-ptype="general">현행 전자금융거래법상 전자금융사고에 대한 배상책임은 보안 SW 설치 여부와 관계없이 금융회사에 있다. 이용자 중과실 사유 역시 접근매체의 방치 등에 한정돼 있는 만큼, 실질적으로 미설치 자체가 이용자 책임으로 연결되는 구조는 아니라고 짚었다.</p> <p contents-hash="07d25f906e80eeabb9ed4d66577f28dcefdb1ff9c2857bbb2b82595d8af15147" dmcf-pid="ty2vcxtWDu" dmcf-ptype="general">또 설치형 보안 SW가 여전히 필요하다는 주장과 달리 이미 토스증권 등은 설치 여부를 사용자에게 결정하도록 하고, 설치 유무와 관계없이 서비스를 이용할 수 있도록 하고 있다.</p> <p contents-hash="62f5ba682f8102b27b3d316a088eb6d1b655b0d999e7b2b1ca2cdf2f6e9e36f0" dmcf-pid="FWVTkMFYmU" dmcf-ptype="general">시스템 자체에서 이상행동을 감지하고, 해외 접속이나 위험 상황에 대해서는 토스증권 앱을 통해 전자서명을 요구하는 방식이다.</p> <p contents-hash="39d3e6eb7c0d8852c6d68706d49dd0af252df3be61a75a5767cb9c16a40a2daf" dmcf-pid="3YfyER3Grp" dmcf-ptype="general">토스증권 보안 담당자는 “선택형으로 운영하는 이유는 고객 단말에 보안을 의존하는 것보다 금융회사가 직접 통제할 수 있는 영역에서 보안을 강화하는 것이 더 실효적이라고 판단했기 때문”이라며 “서비스 설계 단계부터 보안을 함께 고려해 이상거래탐지, 다중인증방식, 서버 측 위협 탐지 등 금융회사가 주도적으로 운영하는 보안 체계에 집중하고 있다”고 말했다.</p> <p contents-hash="d248eb6a207891ccd73cd1f1797d0dd144733808885cfd11cf06537f93dd4d73" dmcf-pid="0G4WDe0HI0" dmcf-ptype="general">김남석 기자 kns@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 30주년 맞은 '바람의나라'…신라·흑화랑 앞세워 역사 잇는다 04-06 다음 신라젠 경영진 이원화···“불투명한 수익 구조 개선” 04-06 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
