“아이디·비밀번호, 후속 보안 필요”
우리은행은 지난달 29일 수만 건의 고객 정보 유출과 관련해 경찰에 수사를 요청했다. 이 문제는 해킹조직이 일부 사이트에서 얻은 정보를 토대로 우리은행의 인터넷뱅킹에서 5만6000건의 ‘부정 접속’을 성공시키면서 나타났다. 논란이 일자 우리은행 관계자는 “우리가 (경찰에) 수사를 요청한 문제인데, 왜 (우리에게) 그러는지 모르겠다”며 억울해했다. 우리은행은 "포털사이트의 아이디와 비밀번호를 인터넷뱅킹과 똑같이 한 사용자들의 과실이 있다"며 사실상 문제의 원인에서 자신들을 배제했다.
우리은행의 정보 유출은 ‘외부적 요인(해킹)’이 1차 원인이다. 찰스 페로 예일대 교수의 ‘정상사고(Normal Accidents)’ 이론에 빗대어 보면 이 사건은 아무리 확실하고 복잡한 방지책을 세워도 막을 수 없는 사고다. 이 관점에서 보면 우리은행의 억울함은 일견 타당하다. 그러나 은행은 “실제 사용자가 아닌데도 계좌번호를 조회할 수 있는가”라는 물음에 대답하지 못한다. 만약 ‘아니다’라고 한다면 시스템을 통해 충분히 예방이 가능했을 것이고, ‘어쩔 수 없다’라고 말한다면 금융기관의 접속 수준이 포털사이트와 다르지 않다는 것을 입증한 꼴이 된다. 우리은행의 정보 유출은 ‘아이디·비밀번호’ 수준의 단순 로그인 문제에서 크게 벗어나지 않는다. 현재 국내 시중은행은 △아이디 △계좌 비밀번호 △이체 비밀번호 △보안카드 △공인인증서△생체인증에 이르기까지 여러 인증 체계를 갖추고 있다. 그러나 아직 일부 은행의 인터넷뱅킹에서는 고객들의 편의성을 이유로 아이디와 비밀번호만으로 계좌번호와 잔액 등의 정보를 볼 수 있다. 은행 오프라인 창구에서는 불가능한 ‘타인 계좌 조회’가 온라인에서 가능할 수밖에 없는 이유다.
전문가들은 2차·3차 피해 가능성을 고려해 아이디·비밀번호 수준의 로그인을 보완하는 방법을 고민해야 한다고 지적한다. 실제로 고객들은 편의성을 위해 보안카드를 스캔해 메일과 하드디스크에 저장하는 경우가 많다. 인증수단에 대한 정보가 사용자 PC의 하드디스크나 보안이 취약한 메일·서버에 업로드돼 있다면 악성코드만으로도 계좌이체에 필요한 상당한 수준의 정보가 수집될 수 있다. 이 경우 우리은행의 정보 유출은 단순한 해프닝에 그치지 않을 공산이 크다.
염흥열 순천향대 정보보호학과 교수는 “은행 로그인이 아이디와 비밀번호만 가지고는 미흡하다고 볼 소지가 있다”며 “외부에서 누군가 접속을 하려는 경우 (차단이 가능한) 후방보안 체계가 필요하다”고 말했다.