최근 영국 옥스퍼드대 허준호 박사와 케임브리지대 김형식 박사팀이 한국 인터넷 뱅킹 보안에 대한 학술 논문을 발표해 눈길을 끌고 있다.

스마트폰 시대가 급격히 개화하자 금융감독원이 부랴부랴 스마트폰에서도 공인인증서를 사실상 의무화하는 기준을 내놓은데다, 행정안전부가 한국인터넷진흥원을 통해 공인인증서 표준을 개발해 보급하려는 상황에서 더욱 주목받고 있다.

15일 '한국 인터넷 뱅킹 보안'이라는 제목의 이 논문에서는 "액티브X 방식으로는 안전한 거래 플랫폼이 마련될 수 없는 등 보안에 별다른 도움을 주지 못하는데다 이용자의 편의성도 떨어뜨린다"면서 "피싱 공격에도 취약하다"고 밝혔다.

논문은 또 "한국 인터넷 뱅킹의 보안접속 플러그인은 기본적으로 웹브라우저가 사용하는 SSL(Secure Socket Layer).TLS(Transport Layer Security) 보안접속과 별다른 차이가 없다"면서 "웹브라우저가 이미 제공하는 것과 유사한 방식의 암호화를 별도의 플러그인으로 하는 것은 미국 정부의 암호 기술 수출 제한으로 90년대 후반까지 웹브라우저가 낮은 수준의 암호화만을 제공했었기 때문"이라고 진단했다.

SSL은 넷스케이프사에서 전자상거래 등의 보안을 위해 개발된 뒤 TLS라는 이름으로 표준화해 국제적으로 이용되는 것으로, 해킹 등을 막기 위해 아이디와 비밀번호 입력 등의 통신 구간이 암호화됐다.

아울러 "하드디스크나 이동식 저장 장치에 저장된 공인인증서 개인키는 쉽게 유출되기 때문에 비밀번호 이상의 보안을 제공하지 못한다"면서 "보안카드의 추가 도입은 이 같은 허점을 인정해 추가적인 안전장치가 필요하다고 판단했기 때문"이라며 공인인증서가 실효성이 떨어진다고 꼬집었다.

논문은 "안티바이러스 플러그인은 최신 악성코드를 감지해 내지 못하거나, 완벽하게 감지하는 것은 기본적으로 불가능하다"면서 "개인 방화벽 플러그인은 은행거래 중에만 작동하므로, 이 외의 시간에 공격자가 정보를 내보내거나 침입할 수 있다"고 국내 방식에 대한 문제점을 맹렬히 지적했다.

논문은 그러면서 "국내 인터넷 뱅킹에 사용되는 플러그인은 그 정확한 스펙이 공개되지 않으므로 그것의 안전성을 투명하게 검증할 수 없다"면서 "스펙을 공개하지 않으면 초기에는 공격을 늦출 수 있을지 몰라도 결국에는 공격자가 취약점을 발견해 지속적 공격이 이뤄질 수 있다"고 비판의 강도를 높였다.

이 같은 지적을 통해 논문은 "보안프로토콜은 초기에는 완벽하게 투명한 검증 기간을 거쳐야 안전하며, 웹브라우저가 사용하는 SSL.TLS 기법은 투명한 검증을 거친 것"이라며 국제 표준방식에 대해 지지했다.

이밖에 "이용자의 소프트웨어 선택권을 존중하고, 보안 위험에 대한 분명한 설명을 제공해 이용자가 프로그램의 설치 여부를 판단할 수 있도록 해야 한다"면서 "이용자에게 효과적으로 안내하고 계몽하는 등의 사회공학적 접근 방식이 전체적으로 훨씬 나은 효과를 거둘 것"이라고 주장했다.

(서울연합뉴스) 이광빈 기자 lkbin@yna.co.kr