[단독]은행 공인인증서 '보안토큰' 저장 의무화한다

[이데일리 김동욱 기자] 정부가 보이스피싱에 따른 공인인증서 유출사고를 막기 위해 앞으로 ‘보안토큰(HSM)’에 저장해 사용하는 방식을 의무화하고 재발급 절차도 강화하기로 했다. 보이스피싱으로 상대방 금융정보만 손에 쥐면 쉽게 타인 명의의 공인인증서를 재발급 받아 돈을 빼 가는 금융사기를 차단하려는 조치다. 정부는 피싱조직의 꼬임에 넘어가 본인 개인정보가 털려도 인터넷뱅킹 때 ‘인감’ 역할을 하는 공인인증서의 재발급만 막아도 금융사기 피해를 상당 부분 막을 수 있다고 판단하고 있다.

22일 금융당국에 따르면 미래창조과학부와 금융위원회는 이 같은 내용으로 전자서명법 시행규칙을 개정할 방침이다. 미래부 관계자는 “지금까지 고객의 편리성을 높이기 위해 공인인증서 보급에만 초점을 맞추다 보니 제도에 맹점이 있었다”며 “편리성도 추구해야겠지만 앞으로는 보안을 더 높일 것”이라고 설명했다. 시행규칙 개정안은 법제처의 법률 심사를 거쳐 이르면 9월 중 시행될 것으로 보인다.

본인확인 3단계 거쳐야 인증서 발급

정부가 마련한 시행규칙 개정안의 핵심은 공인인증서 발급 절차를 강화하고 고객이 원하면 공인인증서의 온라인 발급을 제한할 수 있도록 한 점이다. 현재 인터넷에서 공인인증서를 재발급 받으려면 2단계절차를 거쳐야 한다.

1단계에 본인 주민번호를 입력하고 2단계에 ARS 또는 SMS(문자메시지) 인증 뒤 보안카드 번호를 입력한다. 그러나 지금의 본인인증 방식은 피싱 조직에 의해 쉽게 뚫릴 수 있다고 전문가들은 지적한다. 피싱 사기조직이 유도신문으로 ARS번호를 알아채거나 스마트폰에 악성코드를 심어 SMS 인증번호를 손쉽게 가로챌 수 있어서다. KB금융연구소에 따르면 지난해 발견된 국내 모바일 악성코드 수는 143만여 건으로 2년 전보다 442%나 급증했다.

이르면 9월부터는 ARS 또는 SMS 인증 후 본인인증 절차를 한 단계 더 거쳐야 한다. 정부는 특정 방식을 규정하지 않고 금융회사가 자유롭게 정하도록 할 방침이다. 인증기관 중 한 곳인 금융결제원은 추가 인증 방안으로 스마트폰에 실물카드를 갖다 대야 인증이 되는 NFC(근거리무선통신) 방식을 올해 말 도입할 예정이다. 우리은행은 지문 등을 이용한 생체인식 방식, 기업은행은 홍채인식과 서명인식 방식 등을 검토하고 있다. 정부 관계자는 “본인인증 절차가 추가되면 사실상 피싱 사기꾼이 인증서를 재발급받기란 어려울 것”이라고 말했다.

내년엔 보안토큰 사용 의무화

아울러 내년엔 보안토큰 사용을 의무화한다. 보안토큰은 해킹할 수도 없고 실물 하드웨어 없이 인터넷뱅킹을 이용할 수 없다. 물론 재발급도 받을 수 없다. 스위스 UBS은행은 공인인증서를 보안토큰에만 저장해 사용한다. 현재 국내 보안토큰 사용률은 10% 미만이다.

정부는 보안토크 사용을 의무화하는 데 따른 고객 혼란을 막기 위해 중간단계를 둘 방침이다. 기존처럼 하드디스크나 USB에 인증서를 직접 저장하는 방식은 금지하되 대신 USB에 저장할 땐 보안프로그램도 함께 내려받아 인증서 유출을 막는 방식이다. 한 은행권 관계자는 “보안을 강화하려면 보안토큰 사용을 의무화하는 게 맞다”며 “고객도 이용에 따른 불편을 감수해야 한다”고 말했다.

●용어설명 : 보안토큰

USB 모양을 띤 공인인증서 저장 매체. 일반 USB와 달리 암호 연산 기능을 가진 칩을 내장하고 있어 해킹 방지 등 보안성이 우수하다. 실물 보안토큰을 가지고 있지 않으면 인터넷이체는 물론 공인인증서 재발급도 불가능하다.