현행 전자금융감독규정의 문제점2

2013.03.02 글쓴이 youknowit

전자금융감독규정 제34조 제2항 제5호는 다음과 같다:

전자금융거래수단이 되는 매체와 일회용 비밀번호 등 거래인증수단이 되는 매체를 분리하여 사용할 것

“전자금융거래수단이 되는 매체”는 PC, 스마트폰, 태블렛PC 등을 지칭하는 것이다. 스마트TV 등도 물론 포함될 것이며 인터넷 접속기능과 웹브라우징 기능이 있는 모든 디바이스가 여기에 해당함은 물론이다. 폰 뱅킹을 이용한 전자금융거래의 경우에는 전화기 역시 “거래수단이 되는 매체”일 것이다.

“거래인증”은 “당사자인증”과는 개념상으로는 구분해 볼 수 있다. 예를 들어, 당사자 본인만이 알고 있는 비밀번호는 당사자 인증 수단이 될 것이고, 비밀번호를 제대로 입력한 유저가 막상 이체거래를 수행할 때, 그 단계에서 또 다시 추가적인 인증수단(예를 들어 보안카드 번호)을 요구할 수 있고, 이것이 거래인증 수단이 된다. 물론 당사자인증 수단과 거래인증 수단이 동일한 경우도 있다. 로그인할 때에도 공인인증서를 요구하고, 이체거래를 할 때에도 공인인증서를 요구한다면 공인인증서는 당사자인증 수단임과 동시에 거래인증 수단이기도 하다. 일회용비밀번호(OTP)도 마찬가지다. 로그인 단계에서도 OTP를 요구하고, 로그인 상태에서 실제 거래를 수행하는 단계에서도 또 다시 OTP를 요구할 수 있고, 이럴 경우 OTP는 당사자인증 수단임과 동시에 거래인증 수단이기도 하다.

OTP(보안카드 또는 OTP생성기 등)는 인터넷과는 분리된 수단이므로 “거래매체와 인증매체를 분리하여 사용”하라는 위 규정을 당연히 충족할 수 있을 것이다. PC로 이체거래를 할 때 일회용 인증코드를 휴대폰 SMS문자 메세지로 전달받는 다면 거래매체와 인증매체는 “분리”되어 있다고 볼 수 있다. 하지만 스마트폰으로 거래할 때 일회용 인증코드를 SMS문자메세지로 전달받으면 어떨까? 비록 물리적으로는 동일한 디바이스(스마트폰)이지만, 웹브라우징 데이터가 처리되는 경로와 SMS문자메세지가 처리되는 경로는 기술적으로 분명히 분리되어 있다. 하지만 금융감독원의 일부 직원은 이런 방법은 “거래매체와 인증매체를 분리하여 사용”하라는 위 규정에 어긋나기 때문에 사용할 수 없다는 입장을 고수하고 있다고 한다. 담당직원의 기술적 무지를 과시하는 처사라고 생각한다.

더욱 황당한 문제는 바로 “공인인증서”와 관련된 것이다. 공인인증서(개인키)는 당사자인증 매체임과 동시에 거래인증매체이다. 공인인증서가 과연 거래수단이 되는 매체(PC, 스마트폰 등)와 “분리하여 사용” 가능한가? USB에 공인인증서를 저장해 두면 거래매체와 인증매체가 “분리”된 것인가? 실제로 거래 시점에 USB를 PC에 “연결”하지 않고, 여전히 “분리”된 상태로 거래를 수행하는 신통한 염력을 가진 분이 있으면 한번 만나뵙고 싶다. 인류 보안기술의 큰 획을 긋는 초대형 사건이요, 기적이 아니겠는가? PC하드디스크에 저장하건, 스마트폰에 저장하건, USB에 저장하건, 거래가 이루어지기 위해서는 인증서는 거래매체와 분리되어서는 안된다. USB뽑고 이체거래 하라는 말인가?

그렇다면 어째서 공인인증서는 “거래매체와 인증매체를 분리하여 사용”하라는 위 규정에 적용을 받지 않는가? 법률이나 고시에 포함된 규정을 적용하는데 일관성이 없다면 그것 자체로 이미 위법하고 부당한 것이다. 이 규정은 법률적 소양이 없는 어떤 분이 OTP와 웹브라우징 체널은 분리되어 운용되는 것이 당연하다는 기술적 내용을 매우 느슨하고 미숙하게 표현해 둔 것이라고 생각한다. 기술적 디테일을 “규정”으로 만들어 밀어붙이겠다는 발상을 가지고 기술인력이 함부로 규정화 작업을 할 경우 이런 일이 생길 수밖에 없다.

이 규정은 OTP 운용의 당연한 기술적 원리를 매우 미숙하게 규정으로 표현하려 시도해 본 것이지만, 일단 이렇게 느슨하고 부정확한 언어로 “규정화”되고 나면, 업계가 채택하려는 (기술적으로 타당한) 솔루션에 대하여서까지 기술적으로 무지한 감독관청이 황당한 딴지를 거는 전봇대가 될 뿐이다.

인증수단에 관한 기술적 내용을 감독관청이 행정적으로 집행하려 시도하는 것 자체가 적절하지 않다고 생각한다.

Categories: 보안, 인터넷 뱅킹, 인터넷 쇼핑 | 1 comment  오픈웹 구독 메일로 받기

  • http://twitter.com/FearlessBear1 프리덤 곰돌이

    우리나라는 인터넷 강국이라고들 했습니다. 10년도 더 된 이야기인데 지금도 그렇게 믿고 있지요.
    근데 요즘은 그렇게 생각안합니다. 조금 창피할 때가 더 많은것 같습니다.
    전 IT분야에서 일하지는 않지만 교수님 글 읽을때마다 힘들었던 대학생활 동안 저에게 힘이 되었던 IT가 이렇게 무너져 내리는 것에 가슴이 아픕니다.
    천천히, 그리고 조금씩 바뀌어 나가겠지만 그래도 예전처럼 꿈과 희망이 있던 IT세상을 다시 볼 수 있도록 좋은 글 많이 부탁드립니다.

«

»