![[취재파일] '그냥 플라스틱 카드'를 쓰는 게 가장 안전할까? ②](http://img.sbs.co.kr/newimg/news/20150209/200812125_1280.jpg)
몇년 전, 페이게이트라는 지급결제대행업체가 요즘 도입이 극구 장려되고 있는 '액티브X 필요없는 간편결제'를 알라딘몰에 도입했지만, 국내 대부분 카드사들이 잇따라 제휴를 거부하면서 큰 화제가 된 적이 있습니다.
"알라딘에서 간편결제를 써보니 편하더라. 현대카드로는 안 되나요"라고 이찬진 드림위즈 대표가 정태영 현대카드 사장에게 트위터상에서 공개적으로 질문을 했고 "안전하지 않은 방법이라 도입하지 않겠다"는 내용의 답변이 오가면서 SNS를 뜨겁게 달궜죠.
당시 현대카드를 필두로 한 카드사들은 "편의성과 보안성 중에 지나치게 편의성에 치우친 방식"이라고 주장했지만, 페이게이트는 비자, 마스터 같은 해외 굴지 카드사들이 쓰고 있는데 우리나라 카드사들은 아예 심사조차 받지 않고 있는 보안 표준을 해마다 통과하고 있고, 금감원 승인도 받았는데, 카드사들이 기존에 쓰던 방법만 고집하느라 상대 자체를 해주지 않으려 한다고 주장했습니다.
당시 시점에서 어느 쪽의 주장이 더 옳았든지 간에, 확실한 것은, 우리나라에서 사용돼 온 결제방식에는 거의 십여 년 동안 큰 변화가 없었다는 겁니다. 기술의 발전 속도를 생각해 보면, 그것이야말로 가장 희한한 일입니다.
이 에피소드를 여기서 말씀드리는 건, '우리나라의 기술을 믿을 수 있을까, 없을까'야말로 닭이 먼저냐 달걀이 먼저냐 하는 얘기라고 생각하기 때문입니다.
규제의 방향을 포함해 제대로 된 제도적 뒷받침과 시장 경쟁이 활성화된다면 보안 수준을 포함한 기술은 더 빠르게 발전할 수 있을 것이고, 그렇지 않으면 발전이 정체되겠죠. 문제는 이미 국제적인 경쟁은 시작됐다는 겁니다.
저는 최근 핀테크 이슈를 취재하면서, 몇 년전 스마트폰 국내 도입 시기의 취재 경험과 여러 가지가 겹친다고 느낍니다. 2009년 말 아이폰이 국내에 소개되기 전까지, 스마트폰은 '소문만 무성한' 외국 물건이었습니다.
국내에서도 이런저런 '스마트폰 비슷한 물건들'(옴니아, 블랙잭...;;)이 개발돼 나오고 있었지만 아이폰 출시 이후 몇년 동안도 우리나라에서 모바일혁명은 생소한 얘기였습니다.
관건은, 아이폰 도입이 늦어진다고 해서, 아이폰과 함께 시작된 세계적인 모바일 혁명의 물꼬를 막을 수는 없었다는 겁니다. 스마트폰이 시장을 빠르게 개척하고 기존의 판도를 바꾸면서, 변하지 않을 것 같았던 세계 유수 기업들의 지형이 삽시간에 지각변동을 일으켰습니다.
휴대전화의 제왕 같았던 노키아가 몰락하고, 뒤늦게 개방형 안드로이드를 대항마로 잡은 삼성이 단시간에 업그레이드를 거듭하며 자리를 잡고, 그보다 좀더 대응이 늦었던 LG가 휘청했던 드라마 같은 일들이 고작 1~2년 사이에 모두 일어났습니다. 소비자들 입장에선 더 극적인 변화가 있었죠. 우리나라에서 스마트폰과 태블릿PC가 보편화되기 시작한 게 고작 4~5년 전인데, 벌써 스마트폰 이전의 생활양식이 가물가물하지 않습니까.
핀테크 지형도에 있어서 우리의 위치가 모바일 분야에 있어 우리의 2009년 12월 직전과 많이 겹쳐 보입니다. 물론, IT융합금융의 자리가 커지느냐 아니냐가 모바일 혁명처럼 극적인 변화를 가져오지는 않을 겁니다.
최근 우리나라에서 제일 많이 논의되는 핀테크 영역인 '모바일 간편결제'의 경우, 확산속도가 그렇게 빠르지 않을 거라는 의견도 일리는 있습니다. 우리나라는 플라스틱 카드 사용이 세계 어느 곳보다 보편화돼 있어 새 결제수단이 파고들 자리가 상대적으로 작으니까요. 국제적인 핀테크 기업을 얘기할 때 많이 거론되는 게 알리페이의 경우, 온라인에서 물건을 살 때 내 통장에 있는 현금을 판매자에게 이체시켜주는 온라인 결제시스템을 제공하면서 급성장했습니다.
신용카드가 크게 확산되지 않은 중국에서, 종이 현금으로는 접근할 수 없는 전자상거래 거래를 송금결제 시스템으로 파고든거죠. 우리나라에 지금 알리페이 같은 회사가 나온다고 해도, 그런 대기업으로 급성장하기는 어려울 겁니다.
그러나 "핀테크=모바일·온라인 간편결제"가 아닙니다. 우리나라의 핀테크 이슈가 앞서 말씀드린 '천송이 코트' 발언에서 촉발된 데다, 결제라는 게 살면서 소비자가 가장 자주 접하게 되는 '금융활동'이다 보니 마치 핀테크, 하면 간편결제인 것처럼 얘기되고 있는 것은 사실입니다.
▶ "中서 '천송이 코트' 못 사는 건 액티브X 규제 때문"
그러나 전에 없던 IT금융 서비스, '핀테크 서비스'가 속속 나오면서 송금, 대출, 투자를 비롯한 그야말로 전 분야에서 변화를 일으키고 있습니다. 각 금융 영역 사이의 경계도 모호해지고 새로운 영역이 계속 생겨납니다. 앞서 말씀드린 알리페이만 해도, 온라인결제를 위해 알리페이 계정에 충전해 놓은 돈을 관리해 이자를 붙여주는 일종의 MMF 서비스, 위어바오를 실시하면서, 중국 금융업계에 큰 변화를 몰고 왔습니다.
전자결제하고 남은 돈을 관리해 주는 시스템이다 보니 소비자 입장에서도 증권사 같은 데 방문할 필요 없이 쓰기 편리하면서 수익이 쏠쏠해, 시중 자금이 급속도로 몰리면서 1년 남짓한 시간 안에 중국 최대 규모의 MMF가 됐습니다. 전통의 오프라인 은행들도 대응하지 않을 수 없는 상황이 된 겁니다.
국경을 기준으로 한 금융시장의 구분도 점점 더 모호해집니다. 우리나라에서 해외직구를 하는 분들은 이미 대부분 페이팔을 써보신 경험이 있을 겁니다. 알리페이의 모회사, 알리바바의 마윈 회장은 최근 우리나라에서 첫 기자간담회를 열고, "한국에서 알리페이 같은 '코리안페이'를 함께 할 협력사를 구하고 싶다"고 공개적으로 밝혔습니다. "빅데이터와 크라우드 기술을 활 해 진정으로 한국에 자리잡을 수 있는 새로운 금융서비스를 만들 수 있다고 생각한다"는 야심찬 계획을 내놨습니다.
▶ 마윈 "한국형 알리페이 만들고 싶다…협력사 찾는다"
앞서 말씀드린 페이게이트는 우리나라 카드사들이 상대를 해주지 않자, 결국 해외 비자/마스터카드와 손을 잡았습니다. 국내 알라딘몰에서 페이게이트를 통해 결제를 하면 해외직구를 위해 페이팔을 쓸 때처럼 해외승인이 됩니다. (비자/마스터가 인정한 국내 기술을 우리 카드사들이 도입하지 않아 소비자들로 하여금 몇년째 국내 결제에 해외 승인 수수료를 물게 하다니... "정말 기묘한 일이죠?" 소리가 자동 완성됩니다...)
기술의 발달 속에 시작된 금융서비스의 새 물결을 막는다고 막을 수 있는 시점은 지난 것으로 보입니다. 여기 새 파이가 점점 부풀어오르고 있고, 먼저 제대로 자리를 잡는 쪽이 훨씬 더 큰 몫을 가져가게 될 겁니다.
3. 해킹 당하면 정말 쫄딱 망할 수도 있어요. 책임은 오로지 개인이 다 져야 할 겁니다.
사실 이 부분이, '핀테크 활성화'를 둘러싼 불안의 핵심이죠. 그런데, 과연 우리나라가 기존의 IT금융 수준을 유지한다면 이런 불안을 느끼지 않아도 될까요? 이런 불안이야말로 우리가 '지금까지 느껴야 했던' 불안입니다.
이 씨는 그나마 인터넷뱅킹도 이용하지 않는 '컴맹'이었습니다. 이 씨가 이용한 건 텔레뱅킹 뿐으로, 이 씨의 정보를 빼내간 일당도 텔레뱅킹을 이용했습니다. 이 씨의 돈을 빼간 한국 내 일당은 잡혔지만, 결국 이 씨의 전화번호와 정보를 도용한 방법을 알고 있는 중국 총책은 잡히지 않았습니다.
이 씨의 정보가 어떻게 빠져나갔는지는 여전히 미궁에 빠진 채입니다. 은행의 과실이 확인되기 전까지는 돈을 보상할 수 없다던 농협은 결국 지난 4월에야 이 씨에게 보험금으로 잃은 돈 전액을 지급했습니다. 전재산을 잃었던 이 씨는 1년 가까운 시간 동안 애를 태워야 했습니다.
▶ 금감원, 농협 1억2천만원 무단인출 사고 검사 착수
여기까지가 뜻하지 않은 금융사고가 일어났을 경우, 우리가 알고 있는 '일어날 수 있는 일'의 양상입니다. 그런데 과연 금융사는 이 상황에 "과실은 없지만" "단지 도의적으로 책임을 졌을" 뿐일까요?
농협은 사흘간 40여 차례에 걸쳐 심야시간에 1억 원어치가 넘는 텔레뱅킹 인출이 반복될 동안 이를 파악하지 못했습니다. 이 사건이 발생한 이후에 농협은 FDS, 즉 이상거래탐지시스템을 도입합니다. (예를 들어, 제가 서울 광화문 한복판에서 카드를 썼는데, 1시간 뒤에 제 카드가 미국 뉴욕에서 또 사용되려 한다면, 둘 중 하나는 부정사용일 가능성이 거의 100%겠죠. 이런 상황들을 파악해 '이상한 거래'를 탐지하고 부정 사용을 막는 것을 시스템화하는 게 바로 FDS입니다.)
농협이 이 '무단인출 텔레뱅킹' 사건이 발생하기 전에 FDS 시스템을 제대로 갖췄다면, 이렇게 이상한 거래는 즉각 탐지가 됐을 겁니다. 광양의 주부가 사흘에 걸쳐 1억 2천만 원을 털릴 때까지 은행이 이를 파악하지 못하는 일은 일어나지 않았을 겁니다.
금융사기 수법은 그야말로 날로 발전하는데, 이에 대한 금융사의 보안 수준은 한참 뒤떨어져 있었다는 거죠. 실제로 농협은 FDS를 갖춘 이후엔, 단시간에 수천 건의 이상 징후 거래를 잡아냈습니다.
그동안 금융사들은 금융감독원의 보안성 심의만 통과하면, 사고가 터졌을 때 재판 등에서 유리한 위치를 점하기가 쉬웠습니다. "금융당국이 정한 보안 수준을 통과했으니, 이 금융사는 보안을 위해 최선을 다했다"는 논리가 성립하는 거죠. 최근 폐지됐지만, 그동안 금융감독원의 보안성 심의는 일률적으로 공인인증서/키보드 보안프로그램/백신/방화벽, 이른바 '보안4종 세트'만 내놓으면 통과할 수 있었습니다.
4가지 모두 이젠 오래된 '낡은 기술'이고, 소비자가 다운받아서 써야 하는 프로그램들입니다. 금융사의 자체적인 보안 노력보다, 소비자가 자신의 컴퓨터에 설치하고 하고 하고 또 하게 해서 '보안이 되게' 하는 방식이었습니다. 날로 교묘해지는 금융사기 수법에 대응해야 하는 책임을 "우린(금융사는) 금감원이 하라는 것 다했는데" 하고, 소비자에게 떠넘길 수 있는 여지가 더 컸다는 얘깁니다.
'보안 4종 세트'는 수천 가지 보안 기술의 하나일 뿐입니다. 그런데 10년 넘게 낡은 이 세트, 금융소비자들을 '설치류'로 만든 이 세트를 갖추면, 금융사가 돈을 들이고 시간을 들여 다른 기술들을 도입해 보면서 보안을 강화할 이유가 없었던 거죠.
그러나 앞으로는 금융사들이 각자 보안대책을 마련해야 하고, 그에 따른 책임을 져야 합니다. 농협이 저 텔레뱅킹 사고 이후 도입한 FDS를 비롯해, 새 보안기술을 찾고, 도입하고, 보안에 투자해야 하는 길이 열린 겁니다.
문제는 여기서부터입니다. 이론적으로는 금융사들이 자체적인 보안 강화 노력을 시작해야 할 토대가 마련됐는데, 실제로 금융사들이 '새 보안기술'을 적극적으로 도입하려면 좀더 다양한 '장려책'이 필요해 보입니다.
금융사가 책임을 지고 새 기술을 도입해야 한다는 부담에, 보안성 심의가 폐지된다 해도 금융사들이 적극적으로 다른 보안기술들을 고려하지 않는다는 게 일선 핀테크 기업들의 불만입니다.
의무사용이 폐지됐을 뿐이지, 어쨌든 공인인증서를 비롯한 '보안 4종 세트'를 쓰면 지금까지 하던 대로 '적당히' 넘어갈 수 있으니까요. 금융사들이 새로운 것을 시도하려는 위험부담을 지지 않으려 한다는 거죠. 규정이 바뀌었다고는 하지만, 현실은 그대로라는 겁니다.
해외의 경우와 비교를 해보면, 비자, 마스터 같은 글로벌 신용카드 회사들은 보안을 계속 강화하기 위해 보안표준 협의체를 만들어 운영해 왔습니다. 비자, 마스터와 일을 하고 싶은 지급결제대행업체나 밴 사, '핀테크 기업'이라면, 이러저런 보안 수준을 통과해 오라고 자기들이 가이드라인을 만든 겁니다. (앞서 말씀드린 국내 핀테크 기업 페이게이트는 이 기준, PCI DSS 표준과 금감원의 심의를 모두 통과했었습니다.)
수백 가지 검증을 받아야 하는 PCI DSS 표준을 통과해야 보안을 제대로 갖췄다고 인증을 받을 수 있는데, 이것도 한 번 받는 걸로 끝나지 않습니다. 정기적으로 검증 수준이 업데이트되고, PCI DSS 인증을 유지하려면 정기적으로 이 업데이트된 기준을 통과해야 합니다. 기업이 보안노력을 지속적으로 하지 않으면 안 되는 겁니다.
'내가 이것저것 다운받아' '내가 보안을 책임지는 데' 익숙해져 있는 우리 금융소비자들이 보기엔 "이렇게 간편하면 보안에 문제 있는 것 아냐" 걱정될 만큼 간편한 결제방식을 제공하는 해외 여러 핀테크 기업들은 해마다 이 PCI DSS 표준을 통과하고 있습니다.
금융당국이 '공인인증서 의무 사용 조항'이나 '보안카드 의무 사용 조항' 같은 것을 철폐해 나가는 데만 신경써서는 실제 금융사들이 새 기술들을 도입해 보안을 강화하려는 노력을 하게 만들기 힘들 겁니다. 이런 식의 자체적인 보안 강화 노력을 우리 금융사들도 적극적으로 해나갈 수 있도록 장려책을 마련해야, 소비자들의 불안을 비로소 잠재울 수 있을 것으로 보입니다.
금융사고가 났을 때 책임 구간을 명확히 하는 것도 필요합니다. 예컨대, 미국은 금융사고가 났을 때 책임을 져야 하는 주체와 책임의 범위를 굉장히 세세하게 규정한 법을 갖추고 있습니다.
그에 반해 우리나라의 전자금융거래법은 내용과 체계가 미비해 분쟁의 소지가 많다는 게 여러 전문가들의 의견입니다. "해킹 당했을 때 책임은 오로지 개인이 져야 하는 것 아니냐"는 불안을 키울 수 있는 분위기였다는 거죠.
사고가 터졌을 때, 상황에 따라 누가 책임을 져야 하는지 충분히 납득할 수 있는 책임 구간을 설정하고, 그 책임 범위도 명확히 규정해 놔야 합니다. 그래야 "해킹 당하면 쫄딱 망할 수 있다, 책임은 오로지 개인이 져야 하는 것 아니냐"는 소비자들의 (기존의 '보안 4종 세트' 시스템 속에서 생긴) 불안을 해소할 수 있을 겁니다.
이런 노력도, 지금처럼 '핀테크'를 활성화하기 위해 새 기술 도입이 장려되는 변화의 시기가 어쨌든 적깁니다. 보안 수준은 과거에 머무르고, 전자금융거래법은 어영부영 미비하고, 이런 수준을 탈피할 수 있는 기회가 열린 겁니다.
우리 금융당국과 금융사들이 이 부분에 대해 어떻게 대처해 나가는지가 앞으로 우리 핀테크 산업이 제대로 발전해 나갈 수 있을지를 판가름하는 관건입니다. 여기서 우리 소비자들의 권리와 의무는 금융당국과 금융사들이 앞으로 금융사고에 대한 보안 책임과 규정에 대한 개선을 어떻게 이뤄나갈지 감시하는 일일 겁니다.
▶ [취재파일] '그냥 플라스틱 카드'를 쓰는 게 가장 안전할까? ①
동영상 기사
동영상 기사
동영상 기사
동영상 기사
동영상 기사