장경천 < 중앙대 상경학부 교수 > 최근 한 은행의 인터넷뱅킹이 초보 게이머의 단순한 해킹프로그램에 뚫리면서 거액의 예금이 인출된 사건은 많은 시사점을 주고 있다. 언론에서는 이 해커가 "초보", "아마추어" 수준이라는 점을 지적하면서 은행의 보안 취약성을 크게 문제삼는 한편 금융감독원과 은행의 체계적인 보안관리를 주문하고 있다. 결국 이번 사건은 "초보에 의해 뚫린 인터넷뱅킹, 보안관리 철저히 하지 않으면 고객은 인터넷뱅킹 서비스를 외면한다" 정도의 수준으로 그 의미가 격하된 느낌이다. 필자는 두 가지 관점에서 이번 사안을 살펴보았다. 첫째 과연 초보, 아마추어인가의 문제다. 이번 사건의 해커는 20대 초반의 일반인이며, 손쉽게 구할 수 있는 해킹프로그램을 통해 고객의 입력정보를 모니터링하는 키스트로크 방식을 이용하였다. 내용만을 놓고 볼 때 매우 쉬운 것처럼 보일 수 있지만, 실상 해킹을 위해 실시한 단계를 면밀히 살펴보면 프로그램만 단순했을 뿐 해커가 범행을 위해 준비한 내용들은 매우 전문적이다. 예를 들어 인터넷뱅킹 외의 경로를 통해 피해자 컴퓨터에 해킹 프로그램을 설치한 점, 지속적인 모니터링을 통해 계좌번호와 비밀번호 등을 캐내는 등 일반인 수준이라고 보기에는 매우 치밀하다. 둘째 그렇다면 은행은 손 쓸 틈이 없었나? 이번 사건의 본질은 바로 키보드 보안 프로그램을 설치하지 않은 데 있다. 하지만 이는 금융권 전반에 걸쳐 이미 2~3년 전부터 꾸준히 키보드 해킹에 대한 문제점이 대두되었기 때문에 은행이 안일하게 대응했다는 책임을 면할 수 없다고 본다. 오히려 은행 측에서 이러한 사안에 대해 충분한 주의 고지를 소홀히 했던 것이 사실이다. 따라서 필자는 전자금융법 조항(보안 프로그램을 설치하지 않았던 고객의 100% 책임)과는 관계없이 해당 은행과 가해자가 이번 사건의 책임을 지고 배상해야 한다고 생각한다. 아울러 금융당국의 과거지향적인 감독책임 또한 크다고 할 수 있다. 만약 이번 사건의 해결방식이 법에만 의지하여 고객 책임으로 전가될 경우, 오히려 인터넷뱅킹에 대한 고객 신뢰, 사고의 책임자이자 당사자인 은행의 브랜드 이미지, 그리고 인터넷뱅킹 산업의 발전에 매우 부정적인 결과를 가져올 것이 뻔하기 때문이다. 그렇다면 향후 대안은 무엇인가? 결론부터 말해 아무리 보안관리(프로그램)를 철저히 한다 하여도 가해자가 치밀한 계획과 반복적인 시행착오를 통해 서비스의 문제점을 파악하게 될 경우에는 무용지물이 될 수밖에 없다는 점을 명심해야 한다. 특히 이번과 같은 고의에 의한 사고를 방지하기 위해서는 먼저 다양한 해킹 시나리오를 수립해야 한다. 이러한 시나리오를 바탕으로 해커의 진입경로를 철저히 분석하고 삼중 사중의 보안장치(공인인증서, 비밀번호, 보안카드 등)가 제 역할을 충분히 할 수 있도록 해야 한다. 기술적인 원인으로 발생할 수 있는 사고의 예방도 중요하다. 현재의 보안방지 프로그램들은 특성상 과거와 현재의 사건을 참고해 사후적으로 개발된 것들이다. 따라서 향후 강력한 해킹 프로그램이 등장할 경우에는 새로운 사고가 발생할 수밖에 없고 이에 대해 얼마나 빨리 대응하는가 하는 것만이 해결책이 될 수밖에 없는 현실이다. 인터넷 금융사고는 고객정보의 누출과 동시에 고객재산을 위협하는 것이기 때문에 그 어떤 사고보다 많은 관심과 대비책을 강구해야 한다. 또 향후 어떤 사건과 사고가 발생할 것인지 앞서 예상할 수 없기 때문에 최신의 보안기술이 가장 빨리 도입되어야 하며, 어쩌면 지나칠 만큼 다양하고 강력한 보안도구가 개발 설치되어야 할 필요가 있다.