금융감독원이 아이폰으로 촉발된 스마트폰 모바일 뱅킹에 대한 가이드라인을 6일 내놓았습니다.(
관련기사)

결론적으로는 PC수준의 강력한 보안기준을 내놓은 것으로 풀이됩니다. 금감원의 가이드라인은 사실상 준수사항이기 때문에 스마트폰 모바일 뱅킹 서비스를 준비하고 있는 은행들은 이러한 가이드라인을 따라야 합니다.

가이드라인에 따르면 스마트폰 뱅킹을 위해서는 별도로 보안카드나 OTP(일회용번호생성기)를 휴대하고 다녀야 합니다.

또한 바이러스나 악성코드 감염을 막기 위한 백신 등을 스마트폰에 설치해야 합니다.

기존에 아이폰 사용자를 위해 서비스되고 있는 하나N뱅크 유저들은 별도로 보안카드와 백신을 휴대하거나 설치해야 한다는 뜻이죠. 다시 말해 기존에 스마트폰 뱅킹이 가지고 있었던 편의성이 상당부분 훼손되는 결과를 가져온 것입니다.

이러한 지침에 대해서 일부 사용자들은 많은 유감을 가지고 있는 것으로 생각됩니다. 그동안 꾸준하게 웹 기반의 전자금융거래도 충분히 안정적이라는 주장을 비롯해 강력한 보안 대책이 편의성을 저해하는 일이라는 주장이 제기돼왔습니다.

금감원도 이러한 ‘여론’을 모르고 있었던 것은 아닙니다. 그러나 일단 ‘보안’이라는 측면에서 다소의 편의성 감소는 어쩔 수 없다는 입장입니다.

금감원 관계자는 “OTP나 보안카드 휴대에 대해선 보안업계와 은행사간에도 의견이 많이 갈린 부분”이라며 “하지만 물리적 보안을 위해선 2중의 보안장치가 마련돼야 한다는 것이 보안의 기본이라는 점에 동의했다”고 설명했습니다.

스마트폰 자체내에서 인증을 통해 전자금융거래가 이뤄지면 편의성은 좋겠지만 보안이라는 측면에서 중요 정보를 한군데 모아놓은 것은 위험이 크기 때문이라는 지적입니다.

한편 바이러스 백신도 의무적으로 설치해야 합니다. 문제는 아이폰이나 스마트폰 모바일 뱅킹을 위한 바이러스 백신 솔루션이 아직 상용화는 되지 못했다는 점입니다. 관련해서는 저희 보안기자의 글을 포스팅합니다(관련기사)

아직 백신이 상용화되지 못했으므로 이미 서비스를 진행하고 있는 하나은행의 서비스는 어떻게 될런지 궁금해서 물었더니 금감원 측에서는 은행이 자발적으로 해결해야 할 문제라고 설명하더군요.

물론 덧붙여서 TF팀을 운영하면서 관련 업계의 의견을 종합한 결과 올 상반기 중으로는 아이폰이던 스마트폰이던 바이러스 백신은 물론 해킹방지 프로그램까지 모두 상용화가 가능하다는 결론을 내렸다고 설명했습니다.

마지막으로 금감원 관계자는 이번 보안 가이드라인에 대해 “보안 가이드라인 마련의 취지가 기술의 혁신과 보안수준의 만족성을 동시에 만족시키기 위해서였다”며 “보안기술개발을 견인하고 유도하는 차원에서 이해돼야 할 것”이라고 지적했습니다.

스마트폰 등 기술이 변화하고 있는 시점에서 좀더 편의성이 확보된 새로운 보안기술이 이번 스마트폰 모바일 뱅킹 서비스 가이드라인을 통해 촉발될 수 있을 것이란 기대입니다.

하지만 금감원의 이러한 취지(?)에도 불구하고 벌써부터 사용자들의 불만이 감지되고 있습니다.

무엇보다 편의성이 강조되던 스마트폰 뱅킹에 PC수준의 보안정책이 강요되면서 시대를 역행하고 있다는 지적입니다.

금감원은 앞으로도 스마트폰 뱅킹을 위한 TF팀을 지속적으로 운용하겠다고 밝혔지만 오늘 나온 가이드라인의 내용이 크게 바뀔 가능성은 없어 보입니다. 금감원 관계자도 수정에 대해선 “크게 생각하고 있지 않다”고 언급하고 있습니다.

상반기에 등장하게 될 바이러스 백신과 악성코드 방지 솔루션이 어떤 형태를 띠게 될지 관심이 쏠릴 것으로 보입니다.
2010/01/06 15:39 2010/01/06 15:39
기업은행의 아이폰 뱅킹 서비스 오픈이 결국 불발됐습니다.(관련 기사)

기업은행에 따르면 당초 28일 예정돼있던 아이폰 뱅킹 서비스의 앱스토어 등록이 지연되고 있는 것으로 알려졌습니다.

표면적으로는 앱스토어의 심의절차가 끝나지 않아서라고 하지만 결론적으로는 금융위원회의 보안성심의 절차를 통과하지 못했기 때문입니다.

문제가 되는 것은 보안성 심의 가이드라인이 데스크톱 보안성 심의 가이드라인을 그대로 따라갈수도 있다는 우려때문입니다.

현재 데스크톱 기반의 인터넷 뱅킹 서비스는 MS의 인터넷 익스플로러(IE) 기반에서만 구동되고 있습니다. 이에 대한 자세한 내용은 그동안 많은 언론이 다룬바 있으니 넘어가기로 하죠.

지금 아이폰 사용자들은 모바일 환경에서도 액티브X 기반의 공인인증서 사용이 확산될 지에 대해 우려의 시선을 보내고 있습니다. 데스크톱 환경이야 그동안 IE 점유율이 90%를 넘었던 상황을 감안할 때 너그럽게 “그럴수도 있다”고 할 수 있습니다.

하지만 모바일 웹 환경에서까지 IE의 독점을 소비자들은 바라지 않고 있습니다. 이미 네이버가 2010년은 모바일 웹의 원년으로 삼고 적극적인 육성에 나서는 등 모바일 웹 환경이 전반적으로 확대되고 있는 상황에서 데스크톱 시장 구도가 그대로 모바일로 전이되는 것에 거부감이 많기 때문입니다.

실제로 삼성 등 휴대폰 업체들도 스마트폰에 ‘오페라’와 같은 IE의 대안으로 떠오르고 있는 브라우저를 탑재하는 등 발 빠르게 움직이고 있습니다.

이러한 상황에서 금감원의 선택이 주목되고 있습니다. 보안성 강화를 위해 데스크톱 환경처럼 액티브X 인증서와 키보드 보안, 해킹방지 솔루션 등 각종 보안 프로그램을 깔면서 편의성을 훼손할 지 아니면 발달한 기술을 믿고 웹 방식의 보안성 강화 움직임을 받아들일지가 관건입니다.

한편 기업은행의 경우 아이폰 뱅킹 서비스를 위해 인증서 방식의 보안을 채택하고 있습니다. 참고로 하나은행은 PIN 방식입니다.

인증서 방식이라고 해서 액티브X 기반은 물론 아닙니다. 운영체제가 다른만큼 새로운 인증서 시스템을 개발한 것입니다.

특히 당초 기업은행은 인증서를 금융결제원에게 제공받으려고 했습니다만 금융결제원에 이러한 시스템이 구축돼지 않아서 독자적으로 인증서 시스템을 구축하고 있습니다.

기업은행에 따르면 다음주중이면 오픈이 가능할 전망이랍니다. 어쨌든 기업은행은 관련 시스템 구축은 물론 보안성 부분에서도 자신감을 표현하고 있습니다.

공은 금감원으로 넘어갔는데요. 어떤 결과가 나올 지 주목됩니다.

2009/12/28 10:05 2009/12/28 10:05

최근 금융감독원이
이성헌 한나라당 의원실에게 제출한 ‘최근 3년간 금융기관별 IT예산’ 자료를 살펴봤습니다. (표를 클릭하시면 확대됩니다)

18개 시중은행의 올해 IT예산이 나와있더군요. <디지털데일리>에서 매년 금융권 IT예산을조사해 단행본으로 펴내고 있어서 사실 IT예산에는 별 다른 관심은 없었습니다. 다만 금융 IT 예산 중 보안분야 투자비율과 은행별 보안 담당자 비율 등이 나와서 흥미롭더군요.

뭐 이부분은 디지털데일리 보안담당 기자분이 다뤄주실수 있을 것 같고요. 저는 전체 IT인력에 대해서 얘기해볼려고 합니다.

편하게 말해서 쪽수가 모든 경쟁력을 의미하진 않겠지만 그래도 활용인력이 많다면 유리한 것만은 사실일 것입니다. 물론 효율적 운용이 우선돼야 하겠지요. 그런면에서 국민은행과 농협이 자체 보유 IT인원수에선 난형난제군요. IT인원만 600여명이 넘는 수준입니다.

외부용역인원까지 합치면 금융사 모두 1000여명을 넘어섭니다. 정말 대단한 조직이 아닐수 없습니다. (농협의 경우 외부용역인원이 프로젝트 진행 인원까지 포함돼있기 때문에 좀 확대됐다고 합니다. 원래대로라면 100-200명 사이라는 군요)

우리은행은 규모에 비해 은행소속 IT인력이 31명에 불과해 의구심이 생길수도 있는데요 반면 외부용역 임직원 수가 591명에 달합니다. 그만큼 우리금융정보시스템을 통한 IT아웃소싱이 활발하다는 반증인듯 싶습니다.

광주/경남은행이 은행내 IT인력수로는 1자리수를 기록하며 최저수준인데요. 역시 우리금융그룹의 계열로서 우리금융정보시스템에 IT아웃소싱을 맡기고 있는 만큼 적정한 수준으로 보여집니다.

나머지는 그냥 참고로 알아두시면 될 듯 합니다. 외국계 은행을 살펴보니 시티은행이 가장 IT보유인원이 많고 HSBC가 가장 적네요.
2009/10/26 17:59 2009/10/26 17:59