현행 전자금융감독규정의 문제점2

전자금융감독규정 제34조 제2항 제5호는 다음과 같다:

전자금융거래수단이 되는 매체와 일회용 비밀번호 등 거래인증수단이 되는 매체를 분리하여 사용할 것

“전자금융거래수단이 되는 매체”는 PC, 스마트폰, 태블렛PC 등을 지칭하는 것이다. 스마트TV 등도 물론 포함될 것이며 인터넷 접속기능과 웹브라우징 기능이 있는 모든 디바이스가 여기에 해당함은 물론이다. 폰 뱅킹을 이용한 전자금융거래의 경우에는 전화기 역시 “거래수단이 되는 매체”일 것이다.

“거래인증”은 “당사자인증”과는 개념상으로는 구분해 볼 수 있다. 예를 들어, 당사자 본인만이 알고 있는 비밀번호는 당사자 인증 수단이 될 것이고, 비밀번호를 제대로 입력한 유저가 막상 이체거래를 수행할 때, 그 단계에서 또 다시 추가적인 인증수단(예를 들어 보안카드 번호)을 요구할 수 있고, 이것이 거래인증 수단이 된다. 물론 당사자인증 수단과 거래인증 수단이 동일한 경우도 있다. 로그인할 때에도 공인인증서를 요구하고, 이체거래를 할 때에도 공인인증서를 요구한다면 공인인증서는 당사자인증 수단임과 동시에 거래인증 수단이기도 하다. 일회용비밀번호(OTP)도 마찬가지다. 로그인 단계에서도 OTP를 요구하고, 로그인 상태에서 실제 거래를 수행하는 단계에서도 또 다시 OTP를 요구할 수 있고, 이럴 경우 OTP는 당사자인증 수단임과 동시에 거래인증 수단이기도 하다.

OTP(보안카드 또는 OTP생성기 등)는 인터넷과는 분리된 수단이므로 “거래매체와 인증매체를 분리하여 사용”하라는 위 규정을 당연히 충족할 수 있을 것이다. PC로 이체거래를 할 때 일회용 인증코드를 휴대폰 SMS문자 메세지로 전달받는 다면 거래매체와 인증매체는 “분리”되어 있다고 볼 수 있다. 하지만 스마트폰으로 거래할 때 일회용 인증코드를 SMS문자메세지로 전달받으면 어떨까? 비록 물리적으로는 동일한 디바이스(스마트폰)이지만, 웹브라우징 데이터가 처리되는 경로와 SMS문자메세지가 처리되는 경로는 기술적으로 분명히 분리되어 있다. 하지만 금융감독원의 일부 직원은 이런 방법은 “거래매체와 인증매체를 분리하여 사용”하라는 위 규정에 어긋나기 때문에 사용할 수 없다는 입장을 고수하고 있다고 한다. 담당직원의 기술적 무지를 과시하는 처사라고 생각한다.

더욱 황당한 문제는 바로 “공인인증서”와 관련된 것이다. 공인인증서(개인키)는 당사자인증 매체임과 동시에 거래인증매체이다. 공인인증서가 과연 거래수단이 되는 매체(PC, 스마트폰 등)와 “분리하여 사용” 가능한가? USB에 공인인증서를 저장해 두면 거래매체와 인증매체가 “분리”된 것인가? 실제로 거래 시점에 USB를 PC에 “연결”하지 않고, 여전히 “분리”된 상태로 거래를 수행하는 신통한 염력을 가진 분이 있으면 한번 만나뵙고 싶다. 인류 보안기술의 큰 획을 긋는 초대형 사건이요, 기적이 아니겠는가? PC하드디스크에 저장하건, 스마트폰에 저장하건, USB에 저장하건, 거래가 이루어지기 위해서는 인증서는 거래매체와 분리되어서는 안된다. USB뽑고 이체거래 하라는 말인가?

그렇다면 어째서 공인인증서는 “거래매체와 인증매체를 분리하여 사용”하라는 위 규정에 적용을 받지 않는가? 법률이나 고시에 포함된 규정을 적용하는데 일관성이 없다면 그것 자체로 이미 위법하고 부당한 것이다. 이 규정은 법률적 소양이 없는 어떤 분이 OTP와 웹브라우징 체널은 분리되어 운용되는 것이 당연하다는 기술적 내용을 매우 느슨하고 미숙하게 표현해 둔 것이라고 생각한다. 기술적 디테일을 “규정”으로 만들어 밀어붙이겠다는 발상을 가지고 기술인력이 함부로 규정화 작업을 할 경우 이런 일이 생길 수밖에 없다.

이 규정은 OTP 운용의 당연한 기술적 원리를 매우 미숙하게 규정으로 표현하려 시도해 본 것이지만, 일단 이렇게 느슨하고 부정확한 언어로 “규정화”되고 나면, 업계가 채택하려는 (기술적으로 타당한) 솔루션에 대하여서까지 기술적으로 무지한 감독관청이 황당한 딴지를 거는 전봇대가 될 뿐이다.

인증수단에 관한 기술적 내용을 감독관청이 행정적으로 집행하려 시도하는 것 자체가 적절하지 않다고 생각한다.

02. March 2013 by youknowit
Categories: 보안, 인터넷 뱅킹, 인터넷 쇼핑 | 1 comment

현행 전자금융감독규정의 문제점1

이어지는 몇개의 포스팅에서 현행 전자금융감독규정 중 심각한 문제를 안고 있는 몇몇 조항을 간략히 지적하고자 한다.

제34조 제2항 제3호

해킹 등 침해행위로부터 전자금융거래를 보호하기 위해 이용자의 전자적 장치에 보안프로그램 설치 등 보안대책을 적용할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램을 해제할 수 있다)

“보안프로그램의 설치 등”

보안프로그램을 유저의 PC나 디바이스에 “설치”하는 것이 과연 적절한 보안대책인가? 유저에게 공인인증서 개인키를 나누어주고 그것에 모든 것을 의존하는 현재의 “보안 발상” 하에서는 유저의 디바이스가 침해되지 않아야 한다는 것이 절대적인 명제로 될 수 밖에 없다. 하지만 보안프로그램을 “설치”하게 한다고해서 이미 침해된 유저의 디바이스에서 인증서 개인키 파일이 유출, 탈취되는 사태를 과연 막을 수 있을까? 그것은 기술적으로 아예 불가능하다.

고작해야 인증서 비밀번호의 유출을 키보드해킹방지 플러그인으로 막아보겠다는 수준의 발상이지만, 이또한 유저가 다른 웹사이트(키보드보안 플러그인이 작동하는 금융거래 웹사이트 외의 다른 사이트)에서 입력하는 비밀번호의 유출을 막을 수 없고, 그러한 비밀번호와 인증서 비밀번호가 일치하는 경우가 대부분이라는 점을 고려하면, 별 의미가 없는 조치이다.

특히, 유저 입장에서는 웹사이트가 설치하라는 프로그램이 과연 보안프로그램인지, 악성프로그램인지를 정확하게 구분하는 것이 불가능하다는 점을 전혀 고려하지 않은 조악한 발상이라고 생각한다. 부가프로그램의 설치를 대수롭지 않게 여기도록 유저의 이용행태를 오히려 위험하게 유도하는 대표적인 독소규정이라고 본다.

“고객의 책임으로 본인이 동의”?

더욱 황당한 내용은 이 조항 단서에 있다. “고객의 책임으로 본인이 동의하면 보안프로그램을 해제할 수 있다”고 규정한 부분이 바로 그것이다. “내가 모든 책임을 질터이니, 나는 부가프로그램을 설치하지 않고 거래하겠다”고 고객이 동의하는 상황을 금융위원회가 스스로 상정하고 있다. 은행/카드사 등 금융기관이 고객에게 모든 책임을 떠넘기려면 이 조항을 이용하라는 듯한 착각이 들 지경이다.

하지만, 고객의 이러한 “동의”는 전자금융거래법 상 아무 효력도 없다. 전자금융거래법 제9조는 전자금융 사고거래의 책임을 원칙적으로 금융기관이 부담하도록 규정하고(그래야 금융기관이 보안에 투자할 인센티브가 생기기 때문이다. 책임을 안져도 된다면 금융기관이 보안에 투자할 이유가 없을 것이다), 예외적으로 개인고객의 “고의나 중대한 과실”이 있는 경우에 한하여 책임을 고객에게 지울 수 있도록 규정하고 있다. 그러나 이때 말하는 “개인고객의 고의나 중대한 과실”은 함부로 그 범위를 확장할 수 있는 것이 아니다. 전자금융거래법 제9조 제3항은 “이용자의 고의나 중대한 과실은 대통령령이 정하는 범위 안에서 전자금융거래에 관한 약관에 기재된 것에 한한다“고 규정하고 있으며, 대통령령(전자금융거래법 시행령) 제8조는 이용자의 “고의나 중대한 과실”을 다음 두가지만으로 제한하여 규정하고 있다.

1. 이용자가 접근매체를 제3자에게 대여하거나 그 사용을 위임한 경우 또는 양도나 담보의 목적으로 제공한 경우…
2. 제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치한 경우

이 두가지 경우 외에는 아무리 고객이 “내가 모든 책임을 지겠다”고 금융기관과 약정해봐야 법적으로 그런 약정은 아무 효력이 없는 것이다. “금융기관이 내려주는 부가프로그램을 설치하지 않을 경우”에는 고객에게 책임을 떠넘길 수 있다는 규정은 없다.

요컨대, 현행 전자금융감독규정 제34조 제2항 제3호 단서는 법률 지식이 전혀 없는 고객들에게 “너가 책임진다고 동의했으니, 책임 져라”는 식의 억지 주장(법적으로는 아무 효력도 없는 주장)을 금융기관이 “일단은” 내세울 수 있도록 해주겠다는 말 밖에 되지 않는다. 물론 이런 주장은 법원에 가면 당장에 배척될 것이지만, 그 단계까지 가기 전에 고객을 윽박지르고 고객을 심리적으로 위축시키는 역할을 톡톡히 할 것이다.

이런 부당한 “협박성” 규정을 금융위원회가 백주대낮에 걸어놓고 있다는 사실이 믿어지지가 않는다. 금융위원회가 과연 누구의 이익을 위하여 존재하는 기구인지 묻고 싶다. 법률에 근거도 없고, 법적으로는 아무 효력도 없는 억지 주장을 금융기관이 이용자에게 내세우도록 조장하려는 것인가? 과연 누가 이런 규정을 전자금융감독규정에 박아 넣어둔 것인가?

부끄럽지도 않은가?

01. March 2013 by youknowit
Categories: 보안, 인터넷 뱅킹, 인터넷 쇼핑 | Comments Off

전자금융감독규정 개정 제안

이 글은 오픈넷(http://opennet.or.kr)에 게시된 내용입니다. 조만간 오픈웹은 오픈넷으로 통합 운영될 예정입니다.

+++++

금융위원회가 마련하여 운용하는 현행 전자금융감독규정은 총 75개조에 달하는 매우 복잡하고 자세한 보안 점검 항목을 담고 있다. 예를 들면, 이런 식이다.

  • 정전에 대비하여 조명설비 및 휴대용 손전등을 비치할 것(제11조 제8호, 전산실 관련)
  • 5회 이내의 범위에서 미리 정한 횟수 이상의 비밀번호 입력 오류가 발생한 경우 즉시 해당 비밀번호를 이용하는 거래를 중지시키고 본인 확인절차를 거친 후 비밀번호 재부여 및 거래 재개(제33조 제2항 제3호, 이용자 비밀번호 관련)
  • 비밀번호 개수가 한정된 일회용 비밀번호 사용 시에 비밀번호 입력 오류가 발생하거나 일회용 비밀번호를 입력하지 않고 비정상적으로 거래를 종료하면, 다음 거래 시 동일한 비밀번호를 요구할 것(제34조 제2항 제6호, 거래시 준수사항)

.
이런 조항도 있다(제17조 제4항, 금융기관 웹서버 관련):

금융기관 또는 전자금융업자는 공개용 웹서버가 해킹공격에 노출되지 않도록 다음 각 호에 대하여 적절하게 대응 조치하여야 한다.
1. 악의적인 명령어 주입 공격(SQL injection)
2. 업로드 취약점
3. 취약한 세션 관리(cookie injection)
4. 악의적인 명령 실행(XSS)
5. 버퍼 오버플로우(buffer overflow)
6. 부적절한 파라미터(parameter)
7. 접근통제 취약점
8. 서버설정과 관련한 부적절한 환경설정 취약점

과연 이런 내용을 정부가 “규정화”하여 행정공무원이 집행하는 것이 옳을까? 웹서버에 대한 해킹공격이 SQL injection, cookie injection 등 여기서 언급된 항목에 그치는 것인가? 전자금융감독규정이 개정되려면 금융위원회의 말단 공무원의 기안 작업부터 시작하여 여러 단계의 결재라인을 거쳐가야 하고 총리실의 검토까지 요구되는 매우 번거로운 절차가 필요하다. 그 사이 새로운 웹서버 공격기법이 등장했다가 사라지기 십상이며, 규정의 개정과정에서 결재를 하는 행정관료가 XSS 공격이니, buffer overflow 공격을 알기나 하는지 의문이다.

이런 내용은 전문 보안감사(security audit)서비스 제공자가 기술적 전문성을 가지고 점검하는 것이 옳다. 행정적 규제권한을 가진 금융위원회나 금융감독원이 보안 기술의 지극히 상세한 내용을 “규정”으로 만들어 둔다고 해서 담당공무원이 이런 규제 조항을 실제로 적용할 수 있는 것도 아니다.

실은 현행 전자금융감독규정은 PCI SSC Data Security Standards로 알려져 있는 보안감사 기준(체크리스트)을 적당히 간추려 베낀 것에 불과하다(이 문제는 다음 포스팅에서 좀 더 상세히 설명). 하지만 이 보안감사기준은 애초부터 행정 규제권력이 운용하거나 적용할 수 있는 성질의 것이 아니다.

금융서비스에 대한 규제자(금융위원회/금융감독원)가 금융기관을 감독하는데 참조하기 적절한 원칙들은 보안감사 업체가 금융기관과 계약을 체결하고 전문적인 서비스로서 보안감사를 수행할 때 사용하는 PCI DSS 체크리스트 같은 것이 아니라, 은행감독에 관한 바젤위원회가 2003년에 채택한 전자금융위험관리원칙이다. 바젤위원회가 제시한 전자금융위험관리 원칙은 OECD회원국의 금융감독기관(한국의 경우, 금융위원회/금융감독원이 바로 이것이다)이 자국의 전자금융서비스를 감독할 때 준수해야 할 원칙들을 제시한 것이다. 한국도 OECD회원국이므로 우리 정부는 금융위원회/금융감독원이 이 원칙을 준수하여 금융서비스를 감독하도록 해야 할 국제법적 의무가 있다. 아래 그 내용을 간략하게 소개한다. 내용을 보면 알겠지만, “휴대용 손전등을 비치하라”느니, “비밀번호 오류 회수”가 5번이냐 6번이냐를 따지는 내용이 전혀 아니다.

바젤 위원회가 제시하는 전자금융위험관리 원칙은 다음 세가지 영역으로 나누어져 있다.

A. 금융기관 최고 경영진의 책무

전자금융 서비스의 안전에 대한 궁극적 책임을 최고 경영진에게 묻겠다는 점을 분명히 하고 있다. 전통적인 은행영업의 여러 위험에 대해서는 원래 최고 경영진이 그 책임을 지고 있음은 당연하지만, 전자금융 서비스의 경우 자칫 그 중요성을 과소 평가하여 그 업무를 은행의 “비실세” 경영라인에게 맡겨두는 사태를 막아야 한다는 것이다. 일부 국내 은행의 경우 열악한 인력으로 전자금융서비스가 운영되거나, e-business 사업단이 은행 조직 내에서 그다지 파워가 없는 인력에게 일임되어 있는 사태도 없지 않은데, 바젤 위원회는 바로 이런 사태가 위험하다는 점을 분명히 지적하고 그렇게 되지 않도록 감독기구가 적절히 감독해야 한다는 점을 규정한다. 요컨대, 은행/카드사의 e-business 사업단에 힘을 실어줘야 한다는 것이다.

B. 보안 통제조치

전자금융 서비스가 실제로 제공되는 과정에서 준수되어야 할 핵심적인 보안 원칙을 “높은 레벨”에서 규정한다. 인증서를 반드시 쓰라느니, 전자서명을 하면 만사OK라는 식의 무지막지한 강제, 특정 기술의 사용만을 강요하는 내용을 담고 있는 것이 아니라는 점은 아래 소개하는 세부원칙을 보면 분명해 질 것이다.

C. 법적 책임 및 평판과 관련된 대책

금융기관이 자신의 지위나 상태에 대하여 정확한 정보를 고객에게 제공하도록 하고, 고객의 사적정보나 프라이버시를 법률이 정하는 바에 따라 보호하도록 하며, 해당 금융기관의 전자금융 서비스가 중단됨이 없이 제공되도록 사전에 여러 대비책과 비상대책을 마련하도록 하고, 사고대응에 대한 대비책을 수립하도록 감독기관이 감독해야 한다는 내용이다.

이상 각 분야 별로 바젤위원회가 제시하는 세부 원칙들을 모두 소개하면 다음과 같다.

A. 금융기관 최고 경영진의 책무

원칙1: 각 금융기관의 이사진과 최고 경영진은 전자금융 사업에 관한 위험을 관리하고 책임소재를 분명히 하는데 필요한 관리 감독 체계를 확립하도록 한다.

원칙2: 금융기관의 이사진과 최고 경영진은 해당 은행의 보안 통제 절차의 핵심적 사항을 직접 검토하고 승인하도록 한다. (“인터넷 뱅킹 사업 같은 건 밑에 직원들이 알아서 하잖아, 우린 잘 몰라” 이런 태도를 최고 경영진이 가져서는 안되며, 그렇게 되지 않도록 금융위원회/금융감독원이 규제해야 한다는 뜻)

원칙3: 이사진과 최고 경영진은 자신의 전자금융 서비스가 외주 계약 관계 등 제3자에게 의존하는 부분에 대하여 제대로 점검하고 관리하는 상시적이고 철저한 체계를 수립하도록 한다. (농협사태에서도 보듯이 문제가 터지는 부분은 외주 업체와 관련된 것이 많다. 바로 이런 외주관계를 은행 경영진들이 소홀히 하지 않도록 규제자가 감독해야 한다는 뜻)

B. 보안 통제조치

원칙4: 금융기관은 인터넷으로 이루어지는 거래에서 고객의 신원을 확인하는데 필요한 적절한 조치를 마련하도록 한다. (기술 진보에 상응한 기술을, 거래의 성격과 해당 거래에 수반하는 위험의 수준을 고려하여 은행이 적절히 선택하여 채용해야 한다)

원칙5: 금융기관은 전자금융거래가 부당하게 부인되지 않도록하고 거래의 책임을 분명히 하는데 도움이 되는 거래 인증 방법을 사용하도록 한다. (자신이 수행하는 거래의 내용을 고객이 잘 이해할 수 있도록 UI를 설계하고, 거래 양 당사자의 신원확인을 분명히 하며, 거래 데이터가 변조되지 않도록 하며, 변조여부를 판별할 수 있도록 하라는 뜻)

원칙6: 금융기관은 전자금융거래 시스템, 데이타베이스, 프로그램의 운용에 있어서 각 직원의 임무가 적절히 분리/분할되도록 하는데 필요한 적절한 조치를 취하도록 한다. (각 직원 또는 부서가 상호 검증, 점검할 수 있도록 해야 하고, 어떤 직원이나 외주업체도 거래를 단독으로 성사시킬 수는 없도록 해야 한다는 뜻)

원칙7: 금융기관은 전자금융거래 시스템, 데이타베이스, 프로그램에 대한 접근 권한 통제와 출입통제 등이 제대로 이루어지도록 한다. (직원이 자기 권한을 자기가 변경할 수는 없도록 해야 하며, 임무 분리/분할을 통한 검증, 점검 체계를 우회하지 못하도록 해야 한다는 뜻)

원칙8: 금융기관은 전자금융거래 내역, 거래 기록 등의 정보가 변경되지 않고 보존/보호될 수 있도록 하는데 필요한 조치를 마련하도록 한다.

원칙9: 금융기관은 자신의 모든 전자금융거래에 대하여 분명한 감사/검사 이력(audit trails)이 남도록 한다. (충분한 로그 기록이 남도록 하고, 법정에 제출될 수 있는 증거가 평소에 확보되고, 이 자료가 사후에 변조되지 않도록 하는데 필요한 조치들이 사전에 취해져야 한다는 뜻: 김승주 교수님께서 말씀하시듯이, forensic readiness를 확보하라는 뜻)

원칙10: 금융기관은 전자금융거래 내역의 비밀성을 유지하는 필요한 적절한 조치를 마련하도록 한다.

C. 법적 책임 및 평판과 관련된 대책

원칙11: 금융기관은 고객이 거래할지 여부를 제대로 판단하는데 필요한 정보(명칭, 규제상황 등)를 적절히 제공하도록 한다.

원칙12: 금융기관은 고객의 프라이버시 보호요건을 해당 국가의 법령에 따라 준수하도록 한다.

원칙13: 금융기관은 전자금융 서비스가 상시 제공될 수 있도록 규모, 사업지속 및 비상 대책에 관한 기획 절차를 마련하도록 한다.

원칙14: 금융기관은 전자금융 서비스에 대한 내부자의 공격이나 외부자의 공격 등 불의의 사태를 관리하고 피해를 최소화 하는데 필요한 사고 대응책을 적절히 개발하도록 한다. (재난 회복 체제, 사고 보고 체계, 사고 조사 체계, 증거 수집 체계 등을 구비하라는 뜻)

* * * * *

이러한 규제의 원칙들은 PCI DSS 보안감사 서비스에 적용되는 체크리스트와는 그 수준과 차원이 다른 것이다. “보안프로그램을 유저 PC에 설치하라”는 따위의 지엽말단적인 강제 조항이나, “1원을 이체해도 공인인증서를 반드시 사용하라”는 식으로 특정 보안기술”만”을 강요하는 내용이 아니다. 마구 복제되어 유출되는 공인인증서로 “전자서명”을 받기만 하면 “부인방지”가 된다는 식의 터무니 없는 기술적 무지를 담고 있지도 않다.

이점을 다시 한번 그림으로 설명하면 다음과 같다(확대된 그림을 보려면 그림을 클릭).

financial-supervision-security-audit

그림의 왼쪽은 규제자가 금융기관을 어떤 원리와 규정을 적용해서 감독할 것인지의 문제이고, 그림의 오른쪽은 각 금융기관이 전문 보안감사 기관에 의뢰하여 자신의 전자금융 시스템의 기술적, 관리적 측면을 점검 받고 개선하는 과정을 표시한 것이다. 기술적 전문성도 없는 규제자가 마치 전문 보안감사업체인양 보안감사기준(체크리스트)을 적당히 번역해 두고 보안점검업체 행세를 하는 것은 국민을 속이는 일일 뿐, 적절한 규제자의 태도가 아니다.

SQL injection 이니, XSS 공격 등 일반인들이 잘 알지 못하는 항목을 규정에 잔뜩 나열해 두면 “뭔가 근사해 보이지 않을까” 생각한다면, 그건 유치한 착각이다. 일국의 금융감독기구가 자신의 임무가 무엇인지조차 이해를 못한 채, 전문 보안감사업체의 보안감사 체크리스트를 “감독 규정”이라고 내세우고 있는 우스운 형국이기 때문이다.

현행 전자금융감독규정은 전면적으로 개편되어야 한다. 규제자가 올바른 규제 전략을 수립하고, 진정으로 중요한 여러 분야(금융기관 내부자에 대한 통제, 사고 대응 절차, 증거 확보 체계 등)가 제대로 관리될 수 있도록 하는 한편, 전문 보안감사 업체가 활발하게 영업하고 성장할 수 있는 토양을 제공해 줄 필요가 있다고 생각한다. 그렇게 되어야 국내의 보안 업계가 제대로 성장할 수 있게 될 것이다.

01. March 2013 by youknowit
Categories: 보안, 인터넷 뱅킹, 인터넷 쇼핑, 정책제안 | Comments Off

← Older posts

Newer posts →