관련예산 선진국보다 현저히 낮아

감독당국, 보안 문제 은행 자율에 맡겨

스마트폰을 활용한 계좌이체 등 모바일뱅킹 이용이 늘고 있다. 하지만 은행들이 보안에 대한 관심은 미흡하다는 지적이 제기되고 있다.

한국은행이 최근 발표한 '2014년 중 국내 인터넷뱅킹 서비스 이용현황'에 따르면 지난해 말 모바일뱅킹 등록고객수는 6011만명으로 1년 전보다 20.4% 급증했다.

이 수치는 스마트폰을 기반으로 한 서비스와 인터넷뱅킹용 IC칩이 내장된 이동통신기기를 이용하는 IC칩 서비스, 인터넷뱅킹용 프로그램을 이동통신기기에 다운로드해 이용하는 VM 방식 서비스 등이 포함됐다.

특히 스마트폰 기반 모바일뱅킹 등록고객수는 2013년 말보다 29.6%가 증가한 4820만명을 기록했다.

반면 시중은행이 현재 보안에 투자하는 예산은 적다.

KB금융지주경영연구소가 최근 발간한 '국내·외 금융권의 정보보안 최근 동향과 전망'에 따르면 지난해 국내 18개 은행의 IT투자 예산 대비 보안예산 비중은 10∼15%였다. 이는 전년도 9.27%보다는 다소 증가한 수치지만 미국(40%)·영국은행(50%)에 3분의 1 수준에 불과하다.

관련 특허도 보안관련 분야에서는 취약한 것으로 나타났다.

특허청이 발표한 '핀테크 산업 특허동향 분석'에 따르면 지난해 11월까지 은행의 모바일결제 관련 특허 건수는 189건이다. 이중 보안·인증에 대한 특허는 7건에 불과했다.

가장 많은 특허는 지급결제 방식으로 165건에 달했다. 이밖에 응용서비스(12건), 단말·회로(3건), 시스템·네트워크(2건) 등이었다.

은행별로 보면 신한은행이 절반에 가까운 89건을 보유했다. 이어 IBK기업은행과 우리은행이 각 28건, 국민은행 15건, 하나은행 11건 순이었다.

일부 은행 관계자는 "최근들어 은행별로 보안대책을 마련하고 있다"면서도 "저금리로 인한 순이자마진 감소 등으로 실적에 어려움을 겪고 있는 상황에서 갑작스럽게 예산을 증액하기는 어렵다"고 설명했다.

이처럼 모바일뱅킹 보안문제가 대두되고 있지만 당국은 오히려 뒷짐만 쥐고 있다는 지적도 제기되고 있다.

앞서 금융당국은 지난 2월 전자금융사고 보고 창구는 1차 창구를 금융감독원으로 일원화하는 전자금융감독규정 일부개정 규정을 공포했다.

개정 규정은 전자금융감독 규정상에서 금융사의 기술 자율성을 높여주는 방안을 담고 있다. 결국 은행이 알아서 보안대책을 강구하란 뜻이다.

금융당국은 우선 전자금융감독규정상의 '해킹 등 침해 행위로부터 전자금융거래를 보호하기 위한 이용자의 전자적 장치(휴대전화·PC 등)에 보안프로그램 설치 등 보안대책을 적용할 것'이라는 표현을 삭제했다.

이 규정을 삭제하면 금융소비자가 의무적으로 내려받아야 했던 방화벽과 키보드보안, 공인인증서 등 소위 '금융 보안프로그램 3종 세트'를 받지 않아도 된다. 다만, 이들 보안 프로그램을 원하는 사람은 3종 세트를 'exe' 형태로 묶어 받을 수 있다.

금융당국은 휴대전화와 PC 등 전자금융 매체와 일회용 비밀번호 등 인증 수단이 되는 매체를 분리해야 하는 의무, 비밀번호가 한정된 일회용 비밀번호 사용 때 입력 오류가 발생하면 다음에도 동일한 비밀번호를 요구해야 한다는 의무도 삭제했다.

대신 일회용 비밀번호 등 거래 인증수단을 채택할 때에 안전성이나 보안성, 이용 편의성을 충분히 고려해야 한다는 다소 포괄적인 규정으로 기존 규정을 교체했다.