[기고] 사기 온상 된 오픈뱅킹, 이대론 안 된다

2022. 8. 2. 18:45
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
조석팔 한국시니어과학기술인협회(KASSE) 부회장

며칠 전 메신저피싱을 당한 후 직접 체험한 문제점을 중심으로 현재 운영되고 있는 오픈뱅킹 시스템의 문제점을 지적하고자 한다. 즉, 원격제어로 신분증을 탈취하여 피해자가 가입된 W은행에 접근해 거래가 이루진 점과 이 은행에 접근한 후 오픈뱅크에 가입된 또다른 K은행에 접근해 개인정보를 탈취하여 거래가 이루어진 것을 중심으로 기술하고자 한다. 금융위원회의 자료에 따르면 오픈뱅킹이 시행 2년만에 순 가입자수 3000만명을 넘어 순 등록 계좌수는 1억개를 돌파한 것으로 나타나고 있으며 작년 매신저 피싱 피해액은 991억으로 전년 대비 165.7%로 급증한 것으로 나타나고 있다.

오픈뱅킹은 이용자 모두가 편리하게 이용할 수 있는 서비스를 제공하고 있다. 하나의 금융사 앱만으로 다른 금융사의 모든 본인계좌를 조회하고 이체할 수 있는 편리한 서비스다. 그러나 이용자가 피해를 볼 수 있는 위험이 너무나 크다. 전자금융사기(보이스피싱, 메신저피싱, 스미싱 등)를 통해 피해자의 돈을 너무나도 쉽게 한꺼번에 모아서 이체할 수 있다는 점이다. 시스템적인 보안 취약성과 제도적 취약성을 지닌 채 운영하고 있는 현실은 금융사기를 조장 내지는 장려하는 분위를 자아내고 있는 듯 한다. 개인정보 보호에 역행한다고 할 수 있다.

오픈뱅킹의 이용약관에 나타나는 입출금 기관의 이용한도 조정 등으로 이 문제를 해결하려고 하는 것은 너무나 원시적인 방안이라고 할 수 있다. 오픈뱅킹에 가입된 은행을 통해 발생하는 금융사기 사건이 증가하고 있지만, 금융회사는 고객과의 약관을 근거로 이에 대한 책임은 일차적으로 금융회사가 아닌 고객에게 책임을 전가하는 구조다. 금융회사나 금융감독 기관은 이를 도외시한 채 금융결제망 개방을 통한 금융혁신을 촉진시킨다는 명분 하에 피해는 고스란히 고객에게도 돌아가고 있는 현실이다. 오픈뱅킹 시스템을 확산하기 앞서 보안의 신뢰성과 안정장치가 선행되지 않는 상태에서 오픈뱅킹 시스템의 확대·개편을 시도하고 있는 현실은 매우 안타까운 일일 뿐만 아니라 전자금융 사기범들이 쉽게 접근할 수 있는 범죄의 온상이 될 우려가 있다. 개방을 통한 금융혁신은 우선 보안과 안전장치를 통한 신뢰보장이 선행돼야 한다. 그래서 다음과 같은 몇 가지 문제점 및 이에 대한 대안을 제시하고자 한다.

첫째, 오픈뱅킹 플랫폼을 기반으로 각 금융회사가 고객의 정보를 공유한다는 것은 개인정보를 보호하는 것이 아니라 개방하는 것이다. 오픈뱅킹에 가입된 은행은 고객의 정보를 각 은행이 공유하게 되어있다. 즉, 한 은행의 정보가 노출되면 가입된 모든 은행의 정보가 노출되게 되는 취약성을 지니고 있다. 이 문제는 시스템적으로 심도있게 분석하고 대체하여야 한다. 금융사기범이 은행으로부터 고객 금융정보를 열람하여 고객의 정보를 수정 사용할 수도 있고 고객의 거래(결제, 송금 등)정보를 한 기관에서 다른 기관으로 잔송할 때 해당 거래정보를 해킹하여 위조할 수 있는 구조다. 오픈뱅킹 정책이 정보열람이 아닌 결제 및 금융거래까지 가능하게 하는 것은 심각한 위험요소를 지니고 있다. 철저한 보안시스템 설계가 되지 않는 상태에서 오픈뱅킹에 가입된 은행은 사기성 금융거래를 조장하는 꼴이다.

둘째, 오픈뱅킹의 운영규정이나 약관의 제도적인 문제를 지니고 있다. 고객이 은행 등에 자신의 정보를 다른 회사에 제공하도록 요구하는 고객의 자기결정권에 관한 것이다. 현재 고객이 인터넷뱅킹에 가입하고자 할 때 가장 먼저 필수적으로 동의해야 하는 부분이 개인정보를 제3자에게 수집·이용토록 하는 것이다. 개인정보(신분증 복사 등)을 모두 제공해야 한다. 이러한 내용은 고객에게 모든 책임을 돌리고자 하는 의도다. 한번 복사된 정보는 벌써 제 3자인 은행에 제공한 것이고 이것을 물리적으로 관리할 수 없다. 이미 제공된 개인정보가 어떻게 관리되고 있는지조차도 확인되지 않고 있다.

이에 다음과 같은 대응전략을 제시한다. 첫째, 오픈뱅킹 시스템의 신뢰성 확보다. 고도의 보안 알고리즘(생체인식, 행동식별 등을 기반으로 하는 검증알고리즘)등을 적용해 거래 전 단계에서 사기를 탐색하는 기능이 강화돼야 한다. 제3자의 접근성에 대한 권한 보장은 검증이 우선돼야 한다. 여기서 보다 신중하게 접근하기 위해서는 원격제어에 의한 접근을 제한하는 시스템이 되어야 한다. 즉 원격조종 프로그램 작동시 금융앱에서 앱 구동을 차단하는 기법이나 고도화된 의심거래 탐지시스템이 작동되어 고객을 보호하는 것이 기본이다. 보이시 피싱에 대한 책임을 금융회사가 지지 않고 고객에게만 책임을 돌리는 한 현재의 전자금융거래 약관의 재고는 물론이거니와 이로인한 신뢰성 향상의 기대는 어려울 것이다. 오픈뱅크를 통하여 고객의 정보를 공유한다는 것은 개인정보보호 제도에 역행하는 것이다.

둘째, 피해의 일차적인 책임은 금융회사가 지는 것으로 운영돼야 한다. 은행가입 고객이 전자금융사기를 당했을 경우 이 책임은 제도적으로 보안관리의 책임이 있는 금융회사가 지도록 약관이 수정되어야 한다. 그래야 오픈뱅킹에 가입된 금융회사가 자체 보안관리 및 시스템 취약성을 보완하기 위해 노력할 것이다. 그 한 가지 대안으로 제도적으로 보이스피싱 피해자의 보상을 위해 금융회사가 의무적으로 보험을 들게 하여 피해 발생 시 고객에게 보상하는 제도도 재고할 필요가 있다.

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.