[이데일리 김동욱 기자] 정부가 보이스피싱에 따른 공인인증서 유출사고를 막기 위해 앞으로 ‘보안토큰(HSM)’에 저장해 사용하는 방식을 의무화하고 재발급 절차도 강화하기로 했다. 보이스피싱으로 상대방 금융정보만 손에 쥐면 쉽게 타인 명의의 공인인증서를 재발급 받아 돈을 빼 가는 금융사기를 차단하려는 조치다. 정부는 피싱조직의 꼬임에 넘어가 본인 개인정보가 털려도 인터넷뱅킹 때 ‘인감’ 역할을 하는 공인인증서의 재발급만 막아도 금융사기 피해를 상당 부분 막을 수 있다고 판단하고 있다.
22일 금융당국에 따르면 미래창조과학부와 금융위원회는 이 같은 내용으로 전자서명법 시행규칙을 개정할 방침이다. 미래부 관계자는 “지금까지 고객의 편리성을 높이기 위해 공인인증서 보급에만 초점을 맞추다 보니 제도에 맹점이 있었다”며 “편리성도 추구해야겠지만 앞으로는 보안을 더 높일 것”이라고 설명했다. 시행규칙 개정안은 법제처의 법률 심사를 거쳐 이르면 9월 중 시행될 것으로 보인다.
◇ 본인확인 3단계 거쳐야 인증서 발급
정부가 마련한 시행규칙 개정안의 핵심은 공인인증서 발급 절차를 강화하고 고객이 원하면 공인인증서의 온라인 발급을 제한할 수 있도록 한 점이다. 현재 인터넷에서 공인인증서를 재발급 받으려면 2단계절차를 거쳐야 한다.
1단계에 본인 주민번호를 입력하고 2단계에 ARS 또는 SMS(문자메시지) 인증 뒤 보안카드 번호를 입력한다. 그러나 지금의 본인인증 방식은 피싱 조직에 의해 쉽게 뚫릴 수 있다고 전문가들은 지적한다. 피싱 사기조직이 유도신문으로 ARS번호를 알아채거나 스마트폰에 악성코드를 심어 SMS 인증번호를 손쉽게 가로챌 수 있어서다. KB금융연구소에 따르면 지난해 발견된 국내 모바일 악성코드 수는 143만여 건으로 2년 전보다 442%나 급증했다.
이르면 9월부터는 ARS 또는 SMS 인증 후 본인인증 절차를 한 단계 더 거쳐야 한다. 정부는 특정 방식을 규정하지 않고 금융회사가 자유롭게 정하도록 할 방침이다. 인증기관 중 한 곳인 금융결제원은 추가 인증 방안으로 스마트폰에 실물카드를 갖다 대야 인증이 되는 NFC(근거리무선통신) 방식을 올해 말 도입할 예정이다. 우리은행은 지문 등을 이용한 생체인식 방식, 기업은행은 홍채인식과 서명인식 방식 등을 검토하고 있다. 정부 관계자는 “본인인증 절차가 추가되면 사실상 피싱 사기꾼이 인증서를 재발급받기란 어려울 것”이라고 말했다.
◇ 내년엔 보안토큰 사용 의무화
아울러 내년엔 보안토큰 사용을 의무화한다. 보안토큰은 해킹할 수도 없고 실물 하드웨어 없이 인터넷뱅킹을 이용할 수 없다. 물론 재발급도 받을 수 없다. 스위스 UBS은행은 공인인증서를 보안토큰에만 저장해 사용한다. 현재 국내 보안토큰 사용률은 10% 미만이다.
정부는 보안토크 사용을 의무화하는 데 따른 고객 혼란을 막기 위해 중간단계를 둘 방침이다. 기존처럼 하드디스크나 USB에 인증서를 직접 저장하는 방식은 금지하되 대신 USB에 저장할 땐 보안프로그램도 함께 내려받아 인증서 유출을 막는 방식이다. 한 은행권 관계자는 “보안을 강화하려면 보안토큰 사용을 의무화하는 게 맞다”며 “고객도 이용에 따른 불편을 감수해야 한다”고 말했다.
●용어설명 : 보안토큰
USB 모양을 띤 공인인증서 저장 매체. 일반 USB와 달리 암호 연산 기능을 가진 칩을 내장하고 있어 해킹 방지 등 보안성이 우수하다. 실물 보안토큰을 가지고 있지 않으면 인터넷이체는 물론 공인인증서 재발급도 불가능하다.