금융업이 빠르게 변화하고 있습니다. 2014년 10월부터 우리 금융산업에 불어닥친 핀테크의 열풍은 기존의 금융관행을 파괴하고 있으며, 새로운 서비스와 시스템으로 무장한 해외 핀테크 기업의 사례에서 보듯이 이러한 경향은 특정 지역에 국한된 것이 아닌 글로벌 시장에서 가시화되고 있습니다.
국내에서는 이미 누적 이체금액이 1조원을 돌파한 스타트업 지급 결제 회사가 탄생했고, 인터넷 은행 두 곳이 예비인가를 획득하고 본인가를 위하여 시스템을 구축하고 있는데요. 한 창조경제혁신센터에 입주한 스타트업의 절반 정도가 핀테크 관련 사업을 지향하고 있는 것을 보면 창업 아이템으로도 최고의 인기를 누리고 있다고 할 수 있습니다.
그런데 핀테크가 나아가는 길에 여전히 볼멘소리가 많습니다. 한마디로 규제로 인한 금융관행과 정책 때문에 역량 있는 핀테크 기술기업이 금융시장에 진출하기 어렵고, 국제 경쟁에서 뒤처지고 있다는 것입니다.
이런 목소리에는 다양한 이슈가 있지만 이 중 핵심적인 영역이 보안 분야입니다. 보안은 핀테크를 가로막는 단골 메뉴에 항상 등장하고 있으며, 여전히 풀리지 않는 목전의 과제이기도 합니다.
핀테크 시대의 보안 이슈
보안에 대한 이슈를 나열하기 이전에 변화하는 환경에 대한 이해를 가져볼 필요가 있는데요. 새로운 금융환경을 가져온 핀테크에 대한 이해가 먼저 필요합니다.
핀테크란 디지털 혁신이 금융부문에서 일어나는 것으로 정의할 수 있습니다. 여기에서 디지털 혁신이란 기술에 의한 제품과 서비스의 변화를 말하는데요. 이러한 변화의 틀은 크게 두 가지로 나눠 볼 수 있습니다.
전통적인 금융시장이 기술에 의하여 발전적으로 변화하는 경우와 기술이 완전히 새로운 금융 제품과 서비스를 탄생시킨 상황이 있을 수 있습니다. 전자는 기존 금융 규제의 틀에서 정책을 조정하여 관리될 수 있는 영역이지만 후자의 경우에는 기존 시장을 파괴하고 새로이 대체되는 속성을 가지고 있어서 완전히 새로운 대책이 필요합니다.
금융에서의 보안에 대한 정책도 이런 측면에서 고려될 필요가 있습니다. 간편결제나 모바일 앱의 안전성은 기존 정책의 연속선 상에서 이해될 수 있지만 비트코인에 대한 대응은 완전히 새로운 틀이 필요합니다.
핀테크 시대의 보안 이슈 중에서 화두가 되었던 것은 비대면 거래에서의 인증과 생체 인증, 전자서명법에서의 효력, 공인인증서로 인한 불편함 등이 있습니다. 즉, 인증이라는 분야가 보안 이슈의 한 가지 주제로 자리매김하고 있습니다. 하지만 아이러니하게도 이 논쟁에서 ‘인증’이라는 키워드에 대한 심각한 오해가 자리하고 있습니다.
인증의 두 가지 의미
각 언론과 토론회 및 매체에 노출된 의견들에 혼용되어 사용되는 ‘인증’이라는 키워드에는 두 가지 뜻이 있습니다. 이는 인증(Certificate)과 인증(Authentication)입니다.
생체인증, 실명인증에서 사용하는 인증은 사람이나 사물을 식별하는 인증(Authentication)의 의미를 가지고 있습니다. 즉, 어떤 사람이나 사물이 실제로 제시된 바로 그 사람 또는 그것인지를 확정하는 과정인 것입니다. 이러한 인증은 본인확인을 위하여 사용되기도 하며, 전자서명을 활용하여 인증을 하기도 합니다.
이와 구분되는 인증(Certificate)은 공인인증서에서 인증의 개념입니다. 또 정보보호 관리체계(ISMS) 인증에서의 인증을 의미하며, 그 의미는 증명을 말하고, 인증서는 어떠한 사실을 확인받고 이를 서면으로 증명하고자 할 때 작성하는 전자 문서를 포함하는 문서 등을 말합니다.
이를 구분지어 볼 때 공인인증서에 대한 이슈는 보안 이슈라기보다는 우리 사회에서 지속되어 온 증명 제도에 대한 필요성과 효과성에 대한 관점으로 이해할 필요가 있습니다.
공인인증서는 기존의 인감증명서처럼 각종 거래에서 요구되는 증명의 절차를 구성하기 위하여 사용되어 온 것인데요. 오늘날의 디지털 혁신의 시대에도 과거 증명 제도를 입안할 때의 취지가 유지 및 지속되고 있는 것인지, 정책의 조정이 필요한 것인지, 근본적인 존재의 필요성에서부터 논의를 시작해야 할 것인지 판단이 필요합니다.
이어서 본인을 확인하는 인증(Authentication)에 대하여 이슈를 나열해 보면 우선 요구되는 보안의 성격을 식별할 수 있습니다. 물론 다양한 특성이 존재하겠지만 그 중 대표적으로 요구되는 것이 안전성과 편의성입니다.
안전성은 금융거래에서 투자자 등 고객을 보호하기 위한 안전장치이며, 금융 서비스 제공자의 책임이기도 합니다. 안전성이 보장되지 않는 서비스라면 금융산업의 핵심가치인 신뢰가 무너져 산업의 기반을 흔들게 됩니다.
두 번째는 편의성입니다. 2016년 한국은행의 조사자료를 보면 모바일 뱅킹을 처음 사용한 고객 중에 30.2%가 2015년 하반기에 시작하였고, 이용자의 50%가 편리함을 사용에 대한 원인으로 선택했습니다. 스마트폰 보급의 확대와 앱을 이용한 뱅킹이 고객에게 주는 막대한 편리함이 비대면 거래의 확대를 더욱 가속화하고 있는 것이죠.
결국 금융 서비스 제공자는 신뢰의 핵심 인프라인 ‘인증’에 대하여 보안성과 편의성을 둘 다 놓칠 수 없는 것입니다.
최근 인터넷전문은행에 대한 예비인가와 함께 금융위원회가 금융 실명법 및 전자금융거래법상 비대면 실명확인을 허용했습니다. 따라서 생체인증 등 다양한 비대면 거래 기술이 접목되고 있는데요. 제시된 인증방법에는 신분증 사본 제출, 영상통화, 신용카드와 같은 접근매체 전달 시 확인, 기존 계좌 활용, 생체인증, 타 기관 확인 결과 활용 등 다양한 안이 제시되고 있습니다.
하지만 각각 모두 안전성에 약점이 있고, 도전을 받고 있어 여러 가지를 선택적으로 사용토록 하고 있습니다. 하지만 여전히 온전한 인증을 하기에는 부족함이 있습니다.
다시 근본을 생각하면 인증(Authentication)이란 사람이나 사물을 식별하고 식별된 것이 본래의 것과 일치하는지 따져보는 절차와 그 결과입니다.
일상생활에서 사람과 사람이 만나면 서로 인사를 하고 명함을 주고받고 대화를 나누면서 상대방이 본래 만나고자 하는 사람과 일치하는지 점진적으로 식별해 나가는 과정을 거치게 되는데요. 그 과정에서 대상에 대한 지식을 획득하고 분석하며 물리적으로 또는 심정적으로 확신을 얻는 단계를 넘어섰을 때 신뢰를 형성하고 거래를 하거나 관계를 발전시키게 됩니다.
이러한 과정을 금융거래에서의 인증에 빗대면 결국 금융거래는 지속적인 인증 과정이 필요하며 , 단계적으로 인증의 정도에 따라 위험을 식별하고 위험을 감당할 수준에서의 거래를 성사시켜 나아가면서 고객과의 금융거래 관계를 형성하는 것이 타당합니다.
위 과정을 거치는 이유는 각 단계별로 최소한의 인증을 함으로써 편의성을 극대화하고자 하는 의도가 있습니다. 물론 안전성을 높이면서 편의성을 동시에 증진시킬 수 있다면 금상첨화이겠지만 이러한 기술의 적용은 연구개발 비용과 시장성에서 아직은 선택의 폭이 좁기 때문입니다.
결국 인터넷전문은행에서의 인증은 서비스 단계별 위험을 등급화하고, 등급에 따라 차등화된 서비스 등록 및 이용이 이루어지도록 하여 점진적으로 본인확인 및 인증을 심화해서 금융 서비스를 제공하는 구조가 바람직할 것입니다.
금융의 본질적인 위험
결국 논의는 금융의 본질적인 위험에 이르게 되는데요. 금융이란 자금을 융통하는 것입니다. 즉 이자를 받고 위험을 안는 것이며, 위험보다 이자가 크면 성공적인 금융업을 영위하게 되는 것이죠. 결국 위험을 돈으로 환산하는 양적 해석이 중요할 것입니다.
위험 중에서 전통적인 금융 위험관리는 기법이 상당히 발전하여 고도화되어 있으나, 새로운 영역인 IT 운영 위험은 해킹 및 악성코드 등 날마다 나타나는 새로운 사이버 공격 형태로 인하여 식별이 쉽지 않고 대응에는 더더욱 어려움이 따릅니다.
현재 생체인증이 새로운 인증 방법으로서 안전성과 편의성이 높다고 평가되지만, 만약에 생체 정보가 유출될 경우에 변경이 불가한 특성으로 인한 영구적 악용에 대한 우려로 그 한계를 가지고 있습니다.
따라서 안전성과 편의성을 모두 갖춘 인증 방법은 그 기술에 대한 지속과 보안성의 수준으로 판단하기보다, 다양한 인증방법을 사용하는 금융거래의 생태계를 통해 공격자가 이러한 인증방법을 분석하고 악용하는 비용을 극도로 높여서 시도를 차단하는 경제성의 논리가 검토되어야 할 것입니다.
이를 위해 핀테크 기술 생태계에 새롭고 다양한 기술이 쉽고 빠르게 진입하고 검증받고 때로는 퇴출될 수 있는 투명하고 전문성이 보장되며 신속하게 반응하는 플랫폼이 조성되어야 할 것으로 판단됩니다. 결국 기술에 대한 금융 규제의 틀이 매우 유연해져야만 하는 것이죠.
이러한 변화요구는 금융 기술의 발전과 이의 빠른 적용으로 인해 필연적으로 발생하는 것이며, 이와 더불어 유연한 규제가 핀테크 시장을 리드할 수 있다면 가장 성숙한 시장일 것입니다.
이와 유사한 사례가 있다면 정통망법(정보통신 이용촉진 및 정보보호 등에 관한 법률)의 개정 주기로 기술정책의 속도를 참조할 수 있으며, 적어도 핀테크 정책은 이와 같거나 빠른 속도를 유지할 필요가 있고 이러한 정책이 펼쳐진다는 시그널을 시장에 명확히 알릴 필요가 있습니다.
급속한 기술의 진보는 인류의 삶을 송두리째 바꾸어 놓고 있습니다. 인류는 모두 연결되어 있고 모두 통신하고 있으며 거의 모든 거래가 국경을 넘나들고 있습니다. 보안 기술의 진보도 이에 뒤지지 않아서 구글의 경우 전통적이며 취약하기 그지없는 비밀번호 체계를 송두리째 바꾸는 연구를 진행하고 있기도 합니다.
만약 새로운 보안 기술이 전통적인 영역과 혁신적인 분야에서 요구하는 목적을 달성할 수 있으며, 고객과 투자자에게 최고의 편의를 경험하게 할 수 있다면 공인인증서와 생체인증의 존재 의미를 다시 생각할 수 밖에 없을 것입니다. 그런 대안이 제시될 때까지 본질에 충실한 기술과 정책에 대한 고민을 게을리하지 말아야 할 것입니다.
글 ㅣ 이경호 교수 ㅣ 고려대학교 정보보호대학원
