스마트폰을 이용한 모바일뱅킹에서는 홍채 등을 활용한 생체 인증이 확산될 조짐이지만 금융소비자 절대 다수가 이용하는 인터넷뱅킹은 여전히 공인인증서 방식에서 벗어나지 못하고 있다.

금융당국이 지난해 공인인증서 사용 의무를 폐지했지만 은행과 증권사들은 새로운 인증수단 도입을 미루고 있어 소비자의 불편은 여전하다.

3일 금융권에 따르면 신한·국민·KEB하나·우리은행 등 시중은행들과 주요 증권사는 여전히 금융거래약관으로 온라인 거래 때 공인인증서 사용을 강제하고 있다. 인터넷뱅킹과 관련해 생체 인증 등 대체 수단을 도입할 계획도 없는 것으로 확인됐다.
[성큼 다가온 '생체 인증'] 인증서 규제 사라졌는데…한발도 못나간 인터넷뱅킹
금융위원회는 지난해 3월 인터넷 금융거래 시 공인인증서와 각종 보안프로그램 사용 의무를 폐지했으나 금융회사들은 온라인 사이트에 사용하는 각종 보안프로그램을 예전의 ‘액티브X’에서 ‘exe 파일’로 형식만 바꿔 운영하고 있다. 신한은행은 보안프로그램을 최소화한 ‘오픈뱅킹’을 운영 중이지만 여기서도 공인인증서가 필요하다.

또 일부 금융사 사이트는 다양한 인터넷 브라우저 환경을 지원하지 않는 것으로 나타났다. 시중은행 관계자는 “은행들은 금융사고 방지를 위해 보수적으로 시스템을 운영할 수밖에 없다”며 “완벽한 대체 수단을 개발할 때까지 현행 공인인증서를 계속 사용할 것”이라고 말했다.

그러나 1999년부터 사용된 공인인증서는 손쉽게 복사할 수 있어 유출 사고가 끊이지 않는다. 스마트폰 문자를 이용한 악성코드로 정보를 탈취하는, 이른바 ‘스미싱’이 유행하던 2014년 한 해에만 4만1733건의 공인인증서가 유출됐다. 보완 대책이 나왔음에도 지난해 2만2796건, 올 상반기엔 6815건이 유출되는 등 사고가 끊이지 않고 있다. 또 은행들이 사용하는 키보드 보안, 악성코드 탐지 등 보안프로그램들은 다른 프로그램과 충돌해 잦은 오류를 일으키고 PC를 느리게 한다는 소비자 불평도 이어지고 있다.

공인인증서 사용 의무 규제가 없어졌지만 금융회사들이 복지부동하는 것은 사고 책임에 대한 현행법규 때문이라는 비판이 많다. 현행 전자금융거래법은 금융회사가 약관으로 인증서 관리, 보안프로그램 설치 등의 의무를 사용자에게 부과한 뒤 이를 충실히 따르지 않으면 중대한 과실로 판단해 책임을 돌릴 수 있도록 규정하고 있다.

김승주 고려대 정보보호대학원 교수는 “보안 장치가 많을수록 소비자에게 책임을 전가할 여지가 크기 때문에 금융회사들이 현재 시스템을 개선할 필요성을 못 느끼는 것 같다”고 말했다.

반면 금융회사가 사고의 1차 책임을 지는 해외에선 복잡한 보안프로그램을 사용하지 않고 있다.

금융사고는 은행의 이상거래탐지시스템(FDS) 등 자체 보안시스템으로 적발하고 있다.

이현일 기자 hiuneal@hankyung.com