[디지털데일리 이민형기자] 금융당국이 전자금융감독규정을 개정하며 액티브X(Active-X) 폐지를 주문하고 있지만 시중은행들은 여전히 복지부동이다. 액티브X의 대안으로 제시된 범용 실행파일(exe) 방식의 보안솔루션의 보안성을 신뢰할 수 없다는 이유를 들고 있다.

이 때문에 당분간 인터넷뱅킹 사용을 위해서는 액티브X를 통한 보안프로그램 설치를 피할 수 없을 것으로 보인다.

16일 관련업계에 따르면, 주요 은행들은 범용 실행파일 방식의 보안솔루션의 보안성이 검증된 이후에 도입을 검토하겠다는 입장을 표명하고 있다.

신한은행 관계자는 “보안프로그램 설치 의무화 삭제 등이 반영된 전자금융감독규정 개정안이 시행되더라도 현재 환경을 바꾸는 것은 쉽지 않다”며 “당장은 기존의 방식을 사용하되, 보다 강력하고 편리한 환경 구축 방안을 태스크포스팀(TFT)을 구성해 논의 중”이라고 말했다.

또 KB국민은행은 “금융감독의 자율규제 방향에는 적극 공감하며 이를 반영할 준비가 돼 있다”며 “하지만 보안프로그램을 설치하지 않는다는 것은 아직 고려사항에 넣지 않았다. 금융서비스에서 보안은 없어서는 안될 필수 요건이기 때문”이라고 전했다. 다른 은행들도 ‘대응은 하겠지만 보안프로그램을 걷어낼 계획은 없다’고 전했다.

은행들은 공통적으로 카드사들의 상황을 지켜본 뒤 범용 실행파일 보안솔루션을 도입한다는 의견을 전달해왔다. 범용 실행파일 방식의 보안솔루션을 먼저 도입한 금융회사들의 추이를 우선 살피겠다는 의도다.

이와 관련 금융당국은 카드사를 대상으로 올 3월까지 액티브X를 모두 걷어내라고 올해 초 주문한 바 있다. 현재 웹표준 방식을 채택한 롯데카드를 제외한 나머지 카드사들은 범용 실행파일 방식의 보안솔루션을 도입했거나 준비 중에 있다.

모 은행 관계자는 “(카드사에서) 성공적인 사례가 등장하면 그 때부터 도입에 대한 논의를 시작할 것”이라며 “그전에 새로운 형태의 보안솔루션이 등장하는 것도 기대하고 있다”고 전했다.

은행들이 기존의 방식을 고수하면서까지 보안프로그램을 놓지 못하는 이유는 크게 두가지다.

먼저 은행들은 카드사보다 거래에 대한 리스크가 높다. 카드사는 ‘재화’를 위한 서비스를 제공하지만, 은행들은 ‘금전’을 거래하는 서비스를 제공한다. 따라서 사고 발생 시 더 큰 피해를 볼 수 있어 보수적인 입장을 취할 수 밖에 없다는 것이 관계자들의 설명이다.

두 번째는 책임소재를 분산시키기 위해서다. 전자금융거래법 제9조에는 전자금융사고 발생시 1차적 배상책임이 금융회사에게 있다고 명시돼 있다.

전자금융거래법 제9조에 따르면 접근매체의 위조나 변조(1항), 전자적 전송 과정 사고(2항), 정보통신망에 침입해 부정한 방법으로 획득한 접근매체 이용(3항) 등으로 인해 사고가 발생하면 금융회사가 배상을 해야한다.

현재 금융회사들이 사용 중인 보안프로그램은 1항과 2항에 대한 사고대응과 면책을 위해 쓰인다. 이를 보면 보안프로그램 의무화가 폐지되더라도 금융회사들이 쉽게 보안프로그램에서 손을 떼지 않는 것이다.

보안업계 관계자는 “은행들은 고객 보호, 책임 분산 등의 이유로 ‘검증된’ 보안프로그램을 요구할 것”이라며 “(카드사 사례가 성공할 경우) 올해 하반기부터는 변화된 인터넷뱅킹을 사용할 수 있게 될 것으로 기대된다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr