- 스마트폰에 집중된 본인인증 은행 추가인증 의무화 등 보완 필요

- 금융결제원, 신용카드 등 기존 자원 활용, 개인 보안 수위 다양화 위한 매체 분리 전략 주목

[디지털데일리 이상일기자] 택배 주소를 수정해 달라는 문자 메시지를 받고 스미싱 피해를 입은 사례 등 날로 교묘해지고 있는 피싱과 스미싱으로 인한 금융사고가 늘어나고 있다.

이에 업계에선 스마트폰에서 모든 인증과 결제가 일어나고 있는 부분에 대한 재점검이 필요하다는 목소리가 높아지고 있다.

최근 택배 사칭 스미싱 문자를 무심코 눌렀다가 전 재산인 4억 원 가까운 돈을 털린 사건이 발생했다. 피해자는 택배 주소를 기재해 달라는 문자를 받고 URL에 접속했다가 악성 앱이 스마트폰에 설치됐다. 이후 범인은 스마트폰 내에 저장된 신분증 등을 이용해 통신사에서 유심칩을 발급받고 거액을 인출한 것으로 관측된다.

문제는 거액 인출 과정에서 유심칩 교체를 통해 본인 행세를 하는 범인을 은행에서 전혀 차단하지 못했다는 점이다.

때문에 그동안 편의성을 중심으로 발전해 온 모바일 금융거래에 있어 핵심 역할을 하고 있는 스마트폰에 집중돼 있는 인증과 금융 서비스, 즉 인증 매체를 분리할 필요가 있다는 지적이 나오고 있다.

이러한 가운데 30일부터 서울 동대문 DDP서 9월1일까지 3일간 진행되는 '코리아 핀테크위크 2023' 행사에서 금융결제원이 스마트폰에 집중돼 있는 인증을 분산시켜 휴대전화 해킹과 분실, 신용카드 정보 유출에도 안전한 ‘트러스트원(TrustOne)’을 준비중이라고 밝혀 업계의 관심을 끌고 있다.

보안 관점에서 핸드폰 하나로 인증, 금융거래가 모두 이루어지도록 하는 것은 위험한 만큼 별도의 보안매체를 통해 이중 인증체계를 이용하자는 아이디어다. 특히 별도의 보안매체를 발급하는 것이 아니라 금융고객이 소지하고 있는 신용카드를 활용하는 방법으로 편의성도 확보했다.

한국은행이 발표한 '2022년중 국내은행 인터넷뱅킹서비스 이용현황'에 따르면 모바일뱅킹 이용금액은 14조1758억원을 차지하고 있다. 전체 인터넷뱅킹 건수 중 모바일뱅킹 이용건수는 85.4%로 대부분의 비대면거래가 스마트폰으로 이뤄지고 있는 셈이다.

인터넷은행, 빅테크 기업들의 금융시장 진입을 통해 금융결제는 ‘보다 쉽고 편리하게’를 중심으로 본격적인 경쟁이 일어났다. 비대면 결제는 이러한 움직임을 가속화했다. 금융사들이 금융결제 방식의 속도 경쟁에 나서면서 장애물로 인식되는 인증 등 보안 절차를 생략하고 있다는 지적도 나온다.

예를 들어 현재 금융사가 비대면으로 실명을 확인할 때 ▲신분증 ▲영상통화 ▲기존 계좌를 활용한 1원 송금 등의 의무 사항 중 2가지 이상을 지키도록 하고 있다. 하지만 이러한 모든 과정은 스마트폰을 거치게 되어 있다.

때문에 범죄자가 피해자의 스마트폰을 장악하면 본인인증은 어렵지 않다는 것이 전문가들의 지적이다. 실제 일부 스마트폰 사용자들은 번거롭다는 이유로 스마트폰에 신분증 사진, 보안카드 이미지, 본인인증을 위한 정보 등을 기록해두는 일이 일상적이다. 스마트폰만 확보하면 본인인증을 우회할 방법이 범죄자들에게 열려 있는 셈이다.

금융사 차원의 대응도 아쉬운 편이다.1억원 이상, 또는 3천만원, 5천만원 이상 등 고액 거래에 대해서는 별도의 절차를 두는 방안이 고려될 수 있지만 디지털 금융이라는 명제에 휘말려 간과된 부분이 있다는 것이다.

보안업계의 한 관계자는 “금융사들이 일정금액 이상의 전자금융거래에 대해서 보안카드 등 별도 인증매체를 사용하도록 했지만 최근에는 편의성이 강조되고 있는 탓에 특정 수준 이상의 고액금융 거래를 제외하고는 이러한 과정이 사라지고 있다”고 지적했다.

실제 이번 택배 문자 스미싱의 경우 피해자 계좌에서 범인 대포통장 계좌로 자금이체 과정에서 이상거래가 탐지를 통해 은행이 거래자 본인 스마트폰으로 문자를 자동 발송하는 대응책이 실행될 수 있다. 하지만 스마트폰 정보가 범인에게 장악되어 있으면 피해자는 이 문자를 수신하지 못하게 된다는 맹점이 작용했을 것으로 업계는 분석하고 있다.

이처럼 스마트폰이 모든 금융거래의 창구가 되고 있다는 점은 문제다. 특히 은행 한 군데를 통해 전체 거래은행 계좌 조회, 송금 업무를 할 수 있는 오픈뱅킹 서비스 실시 이후 스마트폰 탈취로 인한 피해 확산도 일각에선 우려하고 있는 상황이다.

업계의 한 관계자는 “전세계적으로 오픈뱅킹이 송금거래까지 이루어지거나 허용하는 것은 우리나라가 유일하다. 편의성에선 긍정적이지만 사고 예방 관점에서 스마트폰이 악성앱 설치로 탈취당하게 되면 모든 개인 정보가 탈취되는 셈”이라고 강조하기도 했다.

업계에서는 일정금액 이상의 거래에 대해서는 추가 인증을 의무화하는 등 은행이 피해 예방을 위해 절차를 보완할 필요가 있다는 지적이 나오고 있다. 편리와 속도에 디지털 뱅킹 전략이 초점이 맞춰지다 보니 정작 보안에 대한 부분은 소홀히 한게 아니냐는 목소리도 나온다.

이런 점에서 금융결제원의 제로 트러스트 기반의 ‘트러스트원(TrustOne)’ 전략은 스마트폰 또는 결제카드 분실 및 정보노출에 따른 카드 부정사용 등에 대한 선제적 대응 및 대처가 가능하고 무엇보다 개인의 보안 수준을 개인이 정할 수 있도록 했다는 점에서 금융보안에서의 새로운 패러다임을 제시할 수 있을지 관심이다.

금융결제원이 제시하는 트러스트원의 특징은 기존 멀티팩터 인증 대부분이 스마트폰에 의존하는 것과 달리, 신용카드를 추가 인증 매체로 사용하겠다는 점이다.

인증 매체 분리는 보안상 확실한 이점을 지니지만 편의성이 떨어진다는 단점도 있다. 금융결제원은 국민 대다수가 사용하고 있는 신용카드를 활용함으로써 불편을 최소화했다. 또 반드시 트러스트원을 사용해야 하는 것도 아니다. 사용자의 필요에 따라 선택할 수 있다. 과거 원하든, 원치 않든 의무적으로 사용해야 했던 공인인증제도 등과는 다른 부분이다.

다만 이러한 전략이 통하기 위해선 은행과 카드사 등 기존 금융사들과의 협력이 중요해보인다. 최근 피싱과 스미싱이 고도화, 지능화되고 있는 가운데 대책 마련을 위한 업계의 중지를 모아야 한다는 지적이다.