방화벽부터 키보드·암호화모듈까지···'보안앱 지옥' 해소 논의 본격화

국내 인터넷 뱅킹 환경에서 오랜 기간 유지돼 온 설치형 보안 소프트웨어(SW) 체계가 대대적인 전환기를 맞이할 전망이다. 정부가 금융 분야에서 요구되는 각종 보안 프로그램의 단계적 철폐 방안을 본격 논의하면서다.

17일 관련 업계에 따르면 국가인공지능(AI)전략위원회는 지난 16일 보안특별위원회 제1차 정례회의를 열고 금융 분야 설치형 보안 SW의 단계적 철폐를 비롯한 제도 개선을 논의했다. 지난해 말 범정부 정보보호 종합대책에 '설치 강요형 보안 소프트웨어 단계적 제한'이 포함된 데 따른 조치다.

현재 금융 소비자들이 국내 인터넷 뱅킹이나 전자금융 서비스를 이용하려면 키보드 보안 프로그램, 방화벽, 암호화 모듈 등 다양한 보안 소프트웨어를 반드시 설치해야 한다. nProtect, AhnLab Safe Transaction, INISAFE, TouchEn, Veraport, Wizvera 등이 대표적이다. 당초 보안 강화를 목적으로 기능별 보안 SW가 도입됐지만, 이용자 입장에서는 반복 설치와 충돌 문제, 속도 저하 등 불편을 초래해 '보안 프로그램 지옥'이라는 비판을 받아왔다.

보안 SW 설치가 안전을 담보하지 않는다는 점도 문제로 지적됐다. 지난해 카이스트·고려대·성균관대 공동 연구팀이 국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램 7종을 분석한 결과 키보드 입력 탈취·중간자 공격·원격코드 실행·인증서 유출 등 19건의 심각한 취약점이 드러났다.

온라인 금융거래시 별도의 보안 프로그램 설치가 강제되는 건 한국만의 독특한 시스템이다. 해외에서는 보안 주체를 이용자 PC가 아닌 금융사 서버나 웹 브라우저에 두고, 별도 설치 없이 보안 기능을 구현하는 방식이 일반적이다. 우리나라에서 설치형 보안 SW가 널리 쓰인 이유는 과거 액티브X 기반 환경과 북한발 사이버 공격 등 외부 위협에 대응하기 위해 강화된 측면이 있다. 금융기관뿐 아니라 사용자 기기까지 보안 범위를 확장하면서 다층 방어 체계를 구축한 것이다.

제도 개선이 본격화될 경우 국내 보안 산업에도 적지 않은 영향이 예상된다. 특히 설치형 보안 SW를 주력 솔루션으로 내세우는 기업들은 타격이 불가피할 것으로 보인다. 국내에선 한컴위드, 잉카인터넷, 안랩, 위즈베라, 이니텍, 라온시큐어 등이 웹 보안 SW 사업을 벌이고 있다.

정부의 이번 방침은 디지털 금융 환경의 경쟁력을 높이는 한편 보안 사고 시 책임 소재를 기업으로 돌리기 위한 시도로도 풀이된다. 일각에선 보안 수준 저하 우려를 해소하고 안정적인 전환을 이루기 위해 단계적 적용과 충분한 검증이 병행돼야 한다는 목소리가 나온다. 한 금융권 보안 담당자는 "과거부터 문제로 거론된 보안 SW가 개선될 필요가 있다는 것에는 동의한다"면서도 "대안에 대한 충분한 합의가 가 필요하다"고 말했다.