편의·보안 '뒷짐'…은행권의 정보보호 예산 '헛돈' 지적
스크롤 이동 상태바
편의·보안 '뒷짐'…은행권의 정보보호 예산 '헛돈' 지적
  • 박시형 기자
  • 승인 2016.04.07 10:11
  • 댓글 0
이 기사를 공유합니다
금융사고, 핀테크 도입에 매년 예산 증액…고객 편의·보안 책임은 여전히 나몰라라

(시사오늘, 시사ON, 시사온=박시형 기자) 

은행권이 정보보호 예산은 늘이면서도 이용자 편의와 보안 책임에 대해서는 '뒷짐'을 지고 있어 정보보호예산에 '헛돈'을 쓰고 있는 것 아니냐는 지적이다.

7일 금융권에 따르면 KB국민은행을 제외한 신한·우리·KEB하나·농협 등 주요 시중은행 4곳의 IT·정보보호 예산은 2013년 993억 원, 2014년 1262억 원, 2015년 1269억 원 등으로 매년 증액됐다.

특히 2014년에는 대규모 카드 정보 유출 사고와 텔레뱅킹 자금 유출 사고 등으로 인해 보안 강화 필요성이 제기되면서 비용이 급격히 늘었다.

이전만 하더라도 FDS를 도입한 은행은 신한은행과 부산은행 두 곳에 불과했지만 금융당국이 담당자들을 수시로 소집해 보안을 강조하면서 이상금융거래 탐지시스템(FDS)을 연내 구축하라고 주문하는 통에 정보보호 비용이 증가했다.

▲ 은행권이 IT·정보보호 예산 비용을 늘려가고 있지만 이용자들은 여전히 불편함을 호소하고 있다. ⓒ뉴시스

지난해에는 핀테크 활성화에 따른 비대면 금융거래가 허용되면서 보안 비용이 더 늘었다. 금융실명제로 인해 본인 확인을 해야 계좌를 개설할 수 있는데 이를 통과할 수 있는 방법을 개발하면서 추가로 금액이 투입된 것이다.

또 핀테크 업체들과 협업이 늘어난 점도 개인정보보호 시스템 비용증가로 이어지게 됐다.

실제로 지난해 모바일전문은행을 출범한 우리은행과 신한은행의 경우 전년대비 10% 이상 예산을 증액했다.

한 시중은행 관계자는 "은행별로 특수요인이 있다보니 차이가 있을 수 있겠지만 늘어나는 추세인 것은 분명하다"며 "당행의 경우 올해 차세대 시스템 개발에 들어가면서 IT·정보보호 예산이 1000억 원대가 넘을 것으로 보인다"고 말했다.

그럼에도 고객들은 여전히 불편을 호소하고 있다. 인증방식이 날이 날수록 늘어나는데다 정보보호에 대한 책임을 이용자에게 돌리고 있기 때문이다.

지난해 3월 금융위원회는 '전자금융감독규정'을 개정해 공인인증서 의무사용을 폐지했으나 은행들은 아직도 이를 유지하고 있다. 공인인증서 암호 입력을 위한 5~6개의 보안 프로그램 설치는 덤이다.

인터넷뱅킹에 접속하더라도 보안카드 번호 입력이나 일회용비밀번호(OTP, One Time Password)를 요구한다. 최근에는 ARS 인증도 추가됐다.

단돈 10원을 이체하더라도 3중 보호장치를 거쳐야 하는 셈이다.

KEB하나은행이 별다른 인증없이 자금이체를 할 수 있는 서비스를 출시했지만 대상이 입출금이 자유로운 요구불계좌에 제한된다.

자금 이체 외에도 금융상품 가입, 대출 등 온라인 금융거래 대부분에서 공인인증서와 추가적인 인증 방법이 필요했다.

시중은행 관계자는 "이미 공인인증서가 십수년 째 사용돼 보편화되고 있고, 이를 대체할만한 강력한 인증수단이 나오지 않아 당분간은 이용할 수밖에 없을 것"이라고 말했다.

다른 은행 관계자는 "금융범죄가 점차 고도화되고 있어 이용자들을 보호하기 위해서는 보안 체계를 더욱 강화할 수밖에 없다"고 전했다.

▲ 은행권은 공인인증서 의무사용이 폐지됐음에도 여전히 공인인증서 방식을 고수하면서 보안프로그램 설치를 요구했다. ⓒ시사오늘

또 다른 불편은 3중 보호장치를 거친 자금에 대해서는 은행이 더이상 책임지지 않는다는 것이다. 아무런 제약 없이 보안체계를 통과한 이상 본인이 아님을 의심하기 어렵다는 논리다.

한 금융권 관계자는 "해킹 등으로 내부 시스템에 문제가 발생했을 경우 귀책사유가 금융사에 있어 응당 보상에 나서겠지만 공인인증서나 보안카드 도용의 경우 명의도용에 해당돼 금융사는 귀책사유가 없다"며 "따라서 피해 보상에 대한 책임도 없다"고 설명했다.

이는 불편함을 이용자에게 떠넘기고도 금융사고에 대해서는 나몰라라 한다는 인식을 안겨주기에 충분하다.

실제로 최근 발생한 신용카드 불법 발급 사고의 경우 개인PC에서 빼돌린 공인인증서를 이용했음에도 불법행위를 걸러낼 방법이 없었다.

지난 2014년 말 농협은행에서 발생한 텔레뱅킹 1억 원 유실사고도 처음에는 전산시스템에 아무런 문제가 없었다는 이유로 이용자 잘못으로 떠넘긴 채 보상을 거부했다.

지금 이 시간에도 수많은 피싱·파밍·스미싱 피해자들이 금융사기를 당하지만 금융사 책임은 극히 미미한 것이 현실이다.

금감원에 따르면 은행과 카드사를 상대로 제기된 전기통신금융사기 관련 손해배상소송은 2012년 1월~지난해 11월 사이 총 275건이지만 피해자가 승소한 판결은 1건에 불과했다.

이와 관련 고려대학교 법학전문대학원 김기창 교수는 "공인인증서가 인감도장 같은 역할을 하니 해커가 한 거래조차 사용자로 인식할 합당한 이유가 은행에 있다"며 "오프라인상에서나 통할 논리를 온라인에서 펼치고 있다"고 비판했다.

한편, KB국민은행은 정보보호 예산을 공개하는 것에 대해 거부하며 금융감독원의 권고기준인 IT예산의 7%를 초과해 편성하고 있다는 답만 내놨다.

저작권자 © 시사오늘(시사ON) 무단전재 및 재배포 금지
박시형 기자 sisaon@sisaon.co.kr이 기자의 다른기사 보기
담당업무 : 시중은행 및 금융지주, 카드사를 담당합니다.
좌우명 : 필요하면 바로 움직여라.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
최신순 추천순