본문 바로가기

30초 이야기

금강원의 보안 기준, 스마트폰 뱅킹 위기를 맞는가?

개인적으로 국내 인터넷 뱅킹을 위해 ActiveX를 사용할 수 밖에 없다는 금강원의 입장을 이해하지 못하는 사람중 하나 입니다. 
그도 그럴것이 해외 사례를 보면 접근성과 사용자 권리를 위해 다양한 방법으로 인터넷 뱅킹을 사용할 수 있도록 하고 있으며, 선진국에서는 ActiveX 자체로 보안 구축을 하는 것 자체를 금지시 하는 곳도 있습니다.

국내에서도 이런 금강원(금결원)의 ActiveX 방식의 인터넷 뱅킹 보안구축에 대해서 국민의 권리를 침해하는 행위라는 것을 알리고 권리를 보장 받기 위한 노력이 Open Web[http://openweb.or.kr/]에서 계속 진행하고 있습니다.
얼마전 하나은행에서 아이폰용 뱅킹을 만들어 오픈을 했지만 그 또한 금강원이라는 벽때문에 문제가 발생할지 모르는 입장입니다.
이런 일련의 사건은 아이폰용 뱅킹이라는 입장보다 앞으로 옴니아2 뿐만 아니라 다양한 스마트폰 뱅킹 개발과 발전에 또한번 장벽이 될지 모른다는 것이 전문가들의 전망입니다.

일반 PC는 MS계열 OS 중심이라는 환경과 달리 스마트폰은 다양한 OS를 채택하고 있습니다. 현재 가장 많이 알려진 아이폰 OS, MS윈도우 모바일, 안드로이드, 블랙베리, 심비안 등등 다양하게 존재하고 있고 이들은 IE 기반이 아닌 다른 웹브라우저를 채택하고 있기 때문에 PC 환경보다 더 다양하고 복잡한 환경이기 때문에 보안적인 측면에서 새로운 방안을 강구하지 않는한 어려움이 있을 수 밖에 없습니다. 

이런 환경에서 가장 쉽게 전근할 수 있는 기술로 Web Application [http://en.wikipedia.org/wiki/Web_application] 을 말하고 있습니다. 
WebApp 은 기존의 PC환경에서 특정 기술을 사용하기 위해 사용자가 ActiveX와 같은 플러그인을 설치하지 않고 서비스를 이용할 수 있는 기술입니다. 지금 우리가 많이 사용하고 있는 구글의 Gmail 이나 Doc 같은 서비스도 WebApp을 기반으로 하고 있으며, 해외 경우도 플로그인 방식보다 WebApp 기반의 서비스 구축하는 것을 선호하고 있습니다. 

WebApp은 필요없는(ActiveX와 같은..) 플로그인을 설치하지 않고 서비스를 사용할 수 있다는 장점 뿐만 아니라 스마트폰 같은 다양한 플랫폼에 적용할 수 있다는 장점 뿐만 아니라 이를 통해 구축한 서비스 제공자 입장에서 손 쉽게 서비스를 업그레이드 할 수 있다는 장점도 가지고 있습니다. 
(ActiveX 경우 업그레이드가 되면 다시 업그레이드 설치를 하도록 되어 있습니다.)

그동안 금강원의 보안 기준은 IE 중심의 ActiveX만 고집해 왔고 이를 한국 정부차원에서 당연시 해왔으며 법원에서도 금강원의 손을 들어주고 있는 입장인데 이 때문에 은행에서는 고객을 고려한 서비스 보다 금강원에서 제시하는 보안 기준의 잣대로 서비스를 개발할 수 밖에 없었습니다.

지금 금강원은 스마트폰 뱅킹을 위해 보안 기준을 마련하고 있습니다. 그들도 스마트폰 환경(플랫폼)이 기존의 PC와 많이 다르다는 것을 알고 있기에 고심하고 있습니다. 
하지만 만약 PC와 마찬가지로 특정 업체의 기술을 보안 기준으로 채택했을 경우 다양한 스마트폰에서의 전체 뱅킹 서비스제공은 기대하기 어려워질 수 밖에 없습니다.


현재 하나은행이 애플의 앱스토어에 하나은행 뱅킹을 오픈해 있지만, 아직 금강원의 보안기준이 마련되지 않은 상태에서 잘못하면 무효로 돌아갈지 모르는 입장에 놓여 있습니다.
이뿐만 아니라 곧 런칭을 준비하고 있는 기업은행 역시  고민을 할 수 밖에 없는 입장에 놓여 있습니다.

물론 전자금융거래라는 것은 개인의 자산뿐만 아니라 공공의 자산에 대한 문제이기 때문에 쉽게 접근할 수는 없습니다. 그리고 보안 장치를 마련한다는 것 자체 또한 쉬운 일은 아닙니다.

단지 강팀장이 우려하는 것은....
금강원이 더 넓은 시각에서 접근해 주었으면 하는 입장과 혹시나 이전의 사례같은 기준을 만들어(특정 업체의 편파적 기술 채택방식) 스마트폰 발전(이후 국내에서도 많은 스마트폰 용 서비스들이 나오기 때문에)에 걸림돌이 안되길 간절히 바라고 있습니다.



덧붙임말 :
1. 현재 아이폰용(스마트폰용) 뱅킹을 내 놓은 은행은 하나은행과 기업은행입니다.

2. 기업은행은 PIN 인증 방식이고 기업은행은 공인인증방식으로 사용하고 있다고 합니다. 아직 사용해보질 못해 공인인증방식에 대해서 강팀장도 정확히 알수는 없습니다. 
왠지 PC때의 ActiveX에서 공인인증을 검증하는 방식에 익숙해서 그런지... 괜시리 다른 눈으로 보게 되는군요. 런칭되고 나면 정확하게 알수 있겠죠.

3. 하나은행이 런칭이 되었다고 금강원의 보안기준을 통과한 것은 아닙니다. 금강원은 아직 스마트폰용 보안 기준을 마련하지 못했기 때문에 현재로는 임시적으로 제공되고 있다는 의견이 있습니다. 기준이 마련되면 하나은행 앱에 대해서 다시 검토할 것이라는 보도가 있습니다. 

4. 금강원의 느린 행보에 대해서 안타깝지만 특히나 많은 사람의 재산을 관리하는 서비스인만큼 신중해야 한다는 것은 충분히 이해가 됩니다. 하지만... 이로 인해 이제서야 불 붙은 스마트폰 시장 열기에 찬물을 끼 얻는 일이 없었으면 합니다.