웹접근성과 오픈뱅킹 핵심과제 ‘보안’…동시에 만족시킬 묘안은
- [기획/금융권 오픈뱅킹 및 웹접근성 확보 ②] 새로운 금융보안 패러다임위한 보안기술 개발
[디지털데일리 이상일기자] 지금까지 은행들이 웹접근성 확보에 가장 큰 걸림돌은 홈페이지 기능 중 핵심인 인터넷뱅킹 시스템이었다.
기존 인터넷 뱅킹시스템은 ‘액티브X’라는 마이크로스프트 인터넷 익스플로러(IE)의 플러그 인(Plug-in)기능에 종속돼 있었다. 따라서 인터넷 뱅킹시스템이 특정 브라우저에서만 사용된다는 점은 웹접근성 확보가 여전히 현실적으로 쉽지 않음을 의미한다.
인터넷뱅킹은 현재 '비대면 금융 거래'의 대부분을 차지한다고 할 정도의 핵심 금융채널로 자리잡고 있다.
오픈뱅킹 구현을 통해 웹접근성을 확보하려는 의지와는 별개로, 그에 따른 강도높은 보안 대책 수립과 적용은 금융회사들에게는 필수적인 전제가 된다.
물론 지난 10여년간 인터넷뱅킹 시스템이 상용화된 이래, 금융 당국및 금융회사들의 노력으로 말미암아 전자금융 보안 정책도 꾸준히 마련돼왔으며 안전성 면에서도 대체적으로 여전히 신뢰를 받고 있다.
다만 지난 4월, 현대캐피탈 해킹 사고와 같은 대형 보안사고가 현실화됨으로써 그동안 인터넷뱅킹과 같은 전자금융서비스에 대해 보내왔던 '기계적인 신뢰', '관성적인 신뢰'는 무너진 상태다. 금융회사 IT담당자들은 오픈뱅킹, 웹접근성을 구현하는 데 앞서 반드시 보안에 대한 '어떠한 확신'을 확인하고 싶어한다.
최근 시중은행들이 선도적으로 착수하기 시작한 오픈뱅킹 시스템은 그동안 금융권이 쌓아왔던 인터넷 뱅킹 보안 시스템에 대한 경험과는 달리 '새로운 접근'을 필요로 하고 있다.
기존에는 하나의 브라우저에 대해서만 보안 대책을 수립하면 됐지만 이제는 다양한 브라우저와 다양한 OS환경을 만족시키는 보안 수립이 중요해졌다.
이와관련 금융보안 IT업계에서는 오픈뱅킹을 위해 필요한 보안 기술로 크게 4가지 요소를 꼽고 있다. 구체적으로는 암호화와 개인용 방화벽, 키보드 보안과 공인인증(전자서명)이 그것이다.
먼저, 암호화의 경우 은행권은 웹브라우저에 내장된 SSL(Secure Socket Layer)/TLS((Transport Layer Security) 128Bit 등을 활용하는 방안을 검토하고 있다.
개인용 방화벽은 운영체제 내장 방화벽 및 상용 방화벽 자율 설치 방안을, 그리고 키보드 보안은 가상 키보드, 플러그 인 방식의 키보드 보안 등이 검토되고 있다.
인증과 관련해서는 개인 확인을 위한 그래픽 기반의 인증 솔루션이 최근 도입되는 등 새로운 보안 기술역시 검토되고 있는 상황이다.
물론 현재 검토되고 있는 보안 방식의 따지고 들어가면 허점도 존재한다. 예를 들어 웹 브라우저 내에 탑재된 SSL/TLS에서 공인인증서 사용의 경우 로그아웃 개념이 없으며 본인확인이 불가하다는 단점이 있다.
또한 키보드 보안의 경우, 키보드해킹 방지프로그램 자체의 접근성 미흡으로 ‘시각장애인’이 이용하는 스크린리더의 사용이 어렵다는 점이 오픈뱅킹 구현의 걸림돌로 지적되고 있다.
가상 키보드 적용시 이용되는 스크립트의 난독화도 문제다. 이를 위해 멀티마우스기능, 화면캡처방지 플러그인등 이미지/동영상 캡처에 대응하기 위한 추가 보안방안에 대해 업계는 고심하고 있다.
하지만 최근 보안업계를 중심으로 오픈뱅킹 구현을 위한 다양한 보안 솔루션 개발이 진행되고 있어 이러한 제약을 조만간 극복할 수 있을 것으로 전망하고 있는 상황이다. 특히 오픈뱅킹으로 촉발된 새로운 금융환경에서의 보안 대책 수립은 다양한 금융 거래 접속을 위한 멀티 디바이스 보안 대책으로 확장될 것으로 보인다.
기존에 IE 환경에서의 인터넷 뱅킹은 현재 다양한 운영체제와 브라우저에서 사용이 가능한 오픈 웹 환경으로 전환되고 있다.
하지만 업계에서는 오픈 웹 환경에서 멀티 디바이스와 운영체제, 브라우저를 만족시키는 오픈 디바이스 체제로 오픈뱅킹 환경이 급속하게 변화할 것으로 전망하고 있다.
따라서 오픈 뱅킹 구현을 위한 보안 패러다임은 IE기반의 금융 보안에서 통합 보안의 시대로 전환될 것으로 업계는 관측하고 있다.
한편 금융감독당국의 감독방향도 이러한 새로운 금융보안 패러다임에 초점을 맞추고 있다.
금감원은 금융회사의 웹접근성 및 오픈뱅킹 추진상황을 지속적으로 모니터링하고 점검한다는 계획으로 액티브X 등 비 표준 플러그인기술 적용 지양과 전체 홈페이지에 대한 웹접근성 확보여부 등을 중점으로 감독한다는 계획이다.
<이상일 기자>2401@ddaily.co.kr
MBK, '국가핵심기술 기업' 해외매각 우려 여전히 쟁점… 고려아연 M&A, 정부 역할 필요↑
2024-12-22 19:52:35스트레스 완충자본 규제 유예… 한시름 놓은 은행권, 기업금융 고삐죌까
2024-12-22 14:06:20심각한 노인빈곤율…"면세자에 대한 환급형 세액공제 도입해야"
2024-12-22 12:38:24올해 정보보호 투자액 2조원 돌파…공시 의무화 효과 '톡톡'
2024-12-22 12:00:00