by김관용 기자
2015.01.13 09:37:55
[이데일리 김관용 기자] 전자상거래 간편결제 도입과 인터넷 전문은행 설립 논의 등 국내에서도 일명 ‘핀테크(기술금융)’ 활성화를 위한 규제 완화 분위기가 무르익고 있다.하지만 간편결제 서비스와 가상화폐 등을 겨냥한 공격이 발생하고 있어 새로운 금융 융합 서비스를 겨냥한 신종 보안 위협에 대한 우려의 목소리가 커지고 있다.
최근 가상화폐인 ‘비트코인’의 거래소인 비트스탬프가 해킹당하는 사건이 발생했다. 해킹으로 인해 1만9000 비트코인(약 55억원)을 도둑맞아 거래가 일시 중단된 것이다. 세계 최대 비트코인 거래소였던 마운트곡스의 경우에는 지난 해 2월 해킹으로 85만 비트코인(당시 가치 약 4800억원)을 도둑맞아 거래소를 폐쇄했으며 결국 파산한바 있다.
비트코인은 미국과 영국, 핀란드, 벨기에 등에서 화폐로 인정하고 있는 가상의 돈으로 스마트폰 앱에 비트코인을 충전만하면 세계 어디에서나 사용할 수 있다. 해외 여행이 일반화되고 국경을 넘나드는 전자상거래가 활발해 지면서 환율에 영향을 받지 않는 비트코인은 거래의 장벽을 없애는 화폐로 주목받았다.
비트코인은 기본적으로 ‘블록체인’이라는 디지털 화폐 전송 기록장 등의 보안 솔루션을 갖고 있다. 따라서 전문가들은 비트코인 자체 보다는 이를 사용하는 거래소나 사용자의 보안 취약성으로 해킹이 발생했다고 진단한다.
지난 해 말 발생한 배달 앱 업체 ‘배달통’ 해킹은 새로운 금융 서비스에 대한 보안 문제를 상기시키는 사건이었다. 최근 우후죽순 생겨나고 있는 배달 앱은 서비스 및 물품의 검색->구매 의사 결정->대금 결제의 과정을 거치는 주문 및 결제서비스다. 배달통의 이번 해킹 사건은 결제과정에 대한 공격이 아니라 회원가입시 필수 입력사항인 이메일과 닉네임 정도만 외부에 유출된 것이기 때문에 피해는 크지 않을 것으로 전망된다.
그러나 이같은 신종 서비스를 제공하는 업체의 보안 의식을 지적하는 목소리가 높다. 배달통은 해킹 사고 후 웹 방화벽 추가 적용과 추가 해킹 공격에 대비해 서버 보안을 추가했다고 밝혔다. 방화벽은 80만명의 회원수를 보유한 서비스 업체가 우선적으로 구축해야 하는 기본적인 보안시스템이지만 배달통은 사고 발생 이후 이를 정비했다. 보안업계에 따르면 배달통에 대한 해킹 공격은 ‘웹셀’이라는 가장 낮은 수준의 웹 서버 공격으로 이뤄진 것으로 알려졌다.
지난해 발생한 페이팔에 대한 해킹은 국내 ‘직구족’이 늘어나고 있는 것을 감안하면 매우 심각한 위협으로 평가된다. 전 세계에 걸쳐 이용자가 1억명이 넘는 페이팔은 계정만 등록하면 결제가 쉽게 이뤄지기 때문에 국내 직구족들이 많이 이용하고 있는 서비스다. 하지만 모회사인 이베이가 해커들의 공격을 받아 이베이 계정과 연동된 페이팔 계정이 외부로 유출됐다.
실제로 국내 포털사이트에서 ‘페이팔 해킹’을 검색해보면, 해킹 경험담들이 올라와 있다. 페이팔 계정 해킹으로 자신도 모르는 사이 카드 결제가 이뤄졌다는 경험담이 쏟아졌다.
조규민 금융보안연구원 정보보안본부장은 “보안에 대한 장담은 매우 위험한 것으로 서비스를 제공하는 업체나 이를 사용하는 사용자 모두 보안 위협에 대한 경각심을 가져야 한다”면서 “핀테크의 주요 수단은 스마트폰이기 때문에 핀테크 서비스 업체들은 스마트폰 보안에 더 신경을 쓰고 사용자들 역시 주기적인 보안 체크 등 관리가 필요하다”고 말했다.
박진성 한국HP 보안사업 총괄 이사는 “예전 보안 위협 트렌드는 하드웨어 자체에 대한 공격과 디도스 공격이 많았지만 최근에는 시스템 자체 보다는 앱 등 소프트웨어에 대한 공격이 주를 이룬다”면서 “따라서 새로운 핀테크 서비스를 개발할 때부터 보안을 고려한 ‘시큐어코딩(소프트웨어 개발보안)’ 개념이 필요하다”고 강조했다.
국내 보안업체인 안랩은 올해 주요 보안 위협을 전망하면서 모바일 결제 및 인터넷 뱅킹에서의 보안위협을 화두로 꼽았다. 특히 물품판매관리시스템인 포스 단말기에 대한 공격뿐 아니라 포스 시스템 제작업체에 대한 해킹 시도 등 더 강력한 방식의 포스 시스템 공격이 발생할 것으로 예상했다.
|