"특정 기술에 지나치게 의존하는 것은 위험하다. 특정기술을 법에서 지칭하면 기업 입장에선 더 나은 보안 제고 방안을 연구할 필요가 없어진다."

암호학의 대가 브루스 슈나이어 박사는 29일 서울 삼성동 코엑스에서 열린 '한국 전자금융거래 보안기술' 특별강연회에서 정부의 보안기술 의무화는 문제가 있다고 지적했다.

국가가 어떤 기술을 의무화하는 순간 기술 발전은 중단되고 금융기관은 보안 강화 노력에 투자하지 않게 된다는 것.



브루스 슈나이어 박사는 "전자결제에서 본인인증은 만능이 아니며 거래인증이 더욱 중요하다"며 "기술적 보안보다 사용자의 보안의식이 연계되는 사회적 보안이 더 중요하다"고 강조했다.

캠브리지대학 컴퓨터랩의 로스 앤더슨 교수와 공동으로 '한국의 인터넷뱅킹 보안에 관하여'란 논문을 집필한 캠브리지대 김형식, 옥스포드대 허준호 연구원 역시 업체 제공 보안솔루션 사용 강제의 위험을 지적하며, 복잡한 기술이 보안을 보장하는 것이 아니라는 데 의견을 같이 했다.

두 연구원은 "소프트웨어 인증서는 보안에 한계가 있고 안티바이러스 프로그램은 맬웨어 탐지율이 20~40% 수준에 머물고 있을 뿐"이라고 지적했다.

기술적인 관점에서 한국의 은행이 사용하는 고유의 보안 소프트웨어는 전체 보안에 약간의 도움을 줄 뿐이며, 신뢰할 수 있는 사용자 플랫폼을 만들 수 없다는 얘기다.

두 연구원은 "추가적인 보안 소프트웨어 설치는 적절히 제대로 사용돼야 하며, 다른 웹 브라우저를 사용하기 원하는 사람들을 위해 선택 사항이 돼야 한다"며 "관련된 위험요소 역시 사용자 친화적으로 알려져야 한다"고 주장했다.

파이어폭스 웹브라우저 보안 총책임자인 루카스 아담스키는 한국에서 서버인증이 제대로 되지 않는다는 점을 지적했다.

루카스 아담스키는 "서버 명칭과 보안 플러그인을 서명한 사람 사이에 아무런 연관이 없어 사용자가 안전성을 확인할 수 없는 게 문제"라며 "이런 환경에서 사용자는 보안침해 사실을 인지하지 못하므료, https처럼 보안성이 향상된 사이트를 이용할 수 있도록 다양한 선택의 기회를 제공해야 한다"고 강조했다.

그는 "이를 위해서는 브라우저 내장형 SSL이 바람직한 형태가 될 것으로 보이지만, 중요 OS나 브라우저 선택이 불가능한 독점 형태로 구성된 한국 웹환경은 이런 점에서 취약하다"고 덧붙였다.

이민화 기업호민관은 "지난 10년간 공인인증서와 보안플러그인에 의존해 온 국내의 독특한 보안기술 경향을 근본적으로 재검토해 기존의 단일기술 강제화에서 벗어나 다양한 보안기술 발전을 촉발하는 방향으로 전자금융거래 보안방식이 개선되길 기대한다"고 말했다.

한편 이날 특강은 지난 3월 31일 당정 협의에서 스마트폰 뱅킹·결제의 전자금융거래 보안 방안을 개선키로 확정함에 따라 합리적인 대안을 모색코자 마련됐으며, 참석자들의 질의가 끊임없이 이어지는 등 열띤 분위기 속에서 진행됐다.

임혜정기자 heather@inews24.com