밑도 끝도 없는, 결론을 내는 것이 참으로 어렵고도 어려운 인터넷 뱅킹 문제점에 대해서 얘기를 해 보고자 합니다. 실제로 국내 인터넷 뱅킹 사이트를 돌아 다니다 보면, 무분별하게 설치되는 강제 설치 프로그램으로 인해 짜증이 났던 적이 한두번이 아님은 국내에 살고 있는 사람들은 거의 다가 느꼈을 것입니다. 왜 우리나라가 IE 종속적인 인터넷 환경이 될 수 밖에 없었을까? 그리고 거기에 대해 앞으로 어떻게 대처할 수 있는 방법이 무엇일까를 한번 얘기해 보도록 하겠습니다.

사용자의 실수에 의한 해킹

크롬이라는 웹브라우저를 써 보신분은 incognito 모드를 사용해 보신 분이 계실 겁니다.

공공장소에서 웹브라우저를 사용하게 되는 경우 웹사이티의 History가 남게 되는 것을 방지하는 위해서 크롬 웹브라우저에서는 "incognito"라는 모드를 제공합니다. 제일 밑에 보면 재미있는 게 있는데 "People standing behind you", 즉 "등 뒤에서 유심히 지켜 보고 있는 사람"이 있다면 incognito 모드를 사용해도 무용지물이 될 수 밖에 없다는 구글(?)스러운 경고 메시지가 있습니다.

여기에서 가정을 하나 하겠습니다. 여러분이 인터넷 뱅킹을 했는데 사고가 터졌습니다. 알고 보니 이렇게 누가 등뒤에서 여러분이 인터넷 뱅킹을 하는 모습을 계속 지켜 보고 있으면서(이러한 해킹을 "등뒤 해킹"이라고 칭하겠습니다 ^^) 여러분의 계정 정보(ID, Password), 계좌 정보, 보안 카드 정보를 다 획득해 갔다고 가정을 합시다. 그래서 이 해커는 그 정보를 악용해서 여러분의 잔금을 모조리 빼돌렸습니다. 이 경우 인터넷 뱅킹 사고에 대한 책임은 누구에게 있을까요? 당연히 사용자가 책임을 져야 하겠죠? 의심의 여지가 없을 것입니다.

은행의 실수에 의한 해킹

방화벽도 제대로 설치하지도 않고, DB 서버도 외부 접근이 가능하게 하고, 아무튼 서버의 보안에 신경을 쓰지 않고 있는 은행이 있습니다. 해커는 이 은행의 취약점을 발견하게 되었고, DB에 무단 접근을 하여 사용자들의 계좌 정보에 자기 마음대로 접근할 수 있게 되었습니다. 여기 저기 남의 계좌에서 자기 계좌로 큰 금액의 이체를 마음대로 해 버린 뒤에 돈을 빼내서 유유히 사라 졌습니다. 이경우 책임은 누구에게 있을까요? 당연히 은행의 책임입니다. 이러한 경우라면 은행의 존폐마저도 흔들 수 있는 사건으로 볼 수 있겠죠.

실수한 쪽이 책임을 진다

자, 이제 중간 정리를 해 보겠습니다. 결론은 간단합니다. 잘못한 측에서 책임을 지는 것입니다. 아주 간단합니다.

누구의 잘못인지 규명이 안되는 해킹

하지만 현실을 그리 간단하지 않습니다. 사용자의 잘못도 아니고 은행의 잘못도 아니고, 애매모호한 경우가 비일비재합니다. 이러한 경우는 어떻게 해야 할까요? 누가 책임을 져야 할까요? 어떨까요? 다음 동영상을 한번 봅시다. 올해(2009년 4월)에 발생한 사건으로 아직 정확한 원인 규명이 안된 인터넷 뱅킹 사건입니다.

출처 : http://news.naver.com/main/read.nhn?mode=LPOD&mid=tvh&oid=052&aid=0000246267

위의 뉴스만을 봐서는 누구의 잘못인지 구분을 할 수가 없습니다. 하지만, 이건 저의 예상인데요, 이 경우는 사용자 즉 클라이언트 PC의 해킹에 의한 사건일 가능성이 높습니다. 만약 해커(나쁜놈)가 서버의 점령이 가능했다고 하면 저렇게 사용자 한명의 몇백만원 계좌의 돈만을 빼 가지는 않았을 겁니다. 상상할 수 없는 어마어마한 규모의 돈을 가져 간다던지, 아니면 사용자 하나하나로부터 각각 몇원, 몇십원씩 조금씩 빼내어 아예 눈치를 못하게 한다던지 하겠죠. 최소한 제가 해커라면 그렇게 했을 것이라는 얘기입니다. 그런데 이것(해커가 클라이언트 PC를 장악)은 저의 추측일 뿐이구요, 밝혀진 바는 없습니다.

예전에 비슷한 사건이 났던 적이 있었습니다. 그날 기자로부터 전화가 왔었는데, 후속 기사를 써야 한다고, 뭔가 짐작이라도 가는데 있냐고 문의가 왔었습니다. 저야 당연히 알 수 있는게 없었죠. 서버 로그를 보지도 않고, 클라이언트 PC 도 점검해 보지도 않고,  제가 무슨 얘기를 해 줄 수 있겠습니까? ㅎㅎ 기자한테 물어 봤죠. "그런데 누구 잘못인지 아직 검증된게 아닌데 왜 기사가 그렇게 나갔어요?" 기자가 그러더군요. "그야 당연히 은행이 입증해야 하는거 아니에요?"

재미있는 것이 하나 있는데요, 위와 같은 경우(누구의 잘못인지 밝혀 지지 않은 경우)는 뉴스의 뉘앙스에서 느낄 수도 있듯이 법적 도의적 책임을 은행측으로 돌리려 하는 경향이 있다는 것입니다. 최소한 우리나라만큼은요. 개인이나, 정부나, 언론이나 다를 바가 없습니다. 반면에 은행은 당연히 자신을 방어할 수 밖에 없구요. 그것이 우리나라 인터넷 뱅킹을 바라 보는 보편적인 문화적 시각이라는 것입니다. 이게 틀렸다는 얘기가 아니구요, 그게 우리나라라는 거죠. 이 부분이 외국과 다르다는 것입니다. 틀린게 아니고 다른 겁니다.

정답을 고민해 봅시다

위에서 열거한 경우를 가지고 표를 만들어 보겠습니다. 아래 표에서 물음표(?)로 되어 있는 부분에 대해서 여러분이 스스로 답을 입력해 보시기 바랍니다.

과연 여기 물음표에 어느 누구나 수긍할 수 있는 정답을 달 수 있을까요? 또한 원인 규명이 되지 않은 사건에 대해서는 누가 그 원인을 규명해야 할까요? 사용자가 은행의 잘못을 입증해야 할까요, 아니면 반대로 은행이 사용자의 잘못을 입증해야 할까요?

아무도 정답을 얘기할 수 있는 사람은 없습니다. 그리고 여기에 대해 의견을 수렴해 보자라고 의의를 제기한 사람도 없습니다. 지금까지 온라인상의 토론도 없었고, 정식적인 공청회도 한번 없었구요. 상기 중간 결론에서 얘기한 "잘못한 측에서 책임을 진다"라는 기본 전제가 여기에서부터 흔들릴 수 밖에 없습니다.

규명도 되지 않은, 누가 책임을 져아 하는지 결론이 나지 않은 인터넷 뱅킹 해킹 사건까지도 은행이 도의적으로 감당해야 하기 때문에(또 그것이 당연하다고 생각해 왔기 때문에), 지금까지 어쩔 수 없이 무리수를 두어 왔습니다. 무슨 무리수요? 잡음을 없애야 한다는 거죠. 불미스러운 일이 나지 않도록, 이러한 사건이 나지 않도록, 사용자측까지 모든 경우의 수까지 고려해서 은행측에서 강제적인 액션을 취해 왔다는 것입니다. 그래서 어쩔 수 없이 지금 처럼 사용자가 원하지도 않는 각종 프로그램을 사용자 PC에 더덕더덕 붙일 수 밖에 없는 인터넷 뱅킹 환경이 조성되어 왔습니다.

무엇을 논해야 하는가?

A. 멀티 플랫폼의 사용을 추구하고 플러그인의 사용의 남발을 막아야 한다

B. 멀티 플랫폼의 추구는 중요하지가 않다. 발생할 수 있는 모든 경우의 인터넷 뱅킹 해킹 가능성을 줄이는 것에 집중해야 한다.

지금 인터넷상에서 논쟁이 되고 있는 것은 A와 B의 입장이 전혀 대립되어 있고, 여기에 대해서 수렴이 안되고 있는 현상이 발생하고 있습니다. A와 B에 대한 기술적인 우위의 논란은 더 이상 결론을 내리는데 아무런 도움이 되지 않습니다. 한때 키보드 워리어로서 격렬하게 싸워 보니 알겠더군요.

키보드 로거(Logger. 사용자가 두드리는 키보드 하나하나를 해커가 염탐하는 행위)를 가지고 예를 들어 보겠습니다. 한쪽은 로거를 막기 위해 힘을 써야 한다는 입장이고, 다른 한쪽은 그런 것 필요 없다, OTP이면 충분하다라는 입장입니다. 이는 아무리 싸워도 결말이 나지 않습니다. 논쟁의 요지를 다른 관점에서 생각해야 합니다. PC의 키보드 로거에 의한 해킹의 발생에 대해 누가 책임을 져야 하는지를 명확히 결정하면 됩니다. 사용자가 책임을 진다고 하면 은행이 로거 방지 프로그램을 사용자 PC에 강제 설치해 줄 필요가 없는 것이고, 은행이 책임을 져야 한다면 어쩔 수 없이 사용자 PC에 로깅 방지 프로그램을 강제 설치를 해야 합니다.

그 어느 누구도 정답을 얘기하지 못한, 그리고 지금까지 아무도 의의를 제기하지도 않아 왔던 물음표(?)에 대한 의견의 정답 수렴이 무엇보다도 선행되어야 합니다.

에필로그

스마트폰이 들어 오고 있습니다. 현재 1% 정도 되는 스마트폰 시장이 급격하게 확대되고 있습니다. 조만간에는 반드시 스마트폰은 지금의 휴대폰 시장을 잠식할 것임이 분명합니다. 게다가 무선 인터넷의 활용도 급진적으로 늘어 나고 있습니다. 인터넷 뱅킹의 위험 가능성이 더 늘어 나고 있습니다. 이대로 가다가는 조만간 "아이폰 전용" 인터넷 뱅킹에 대한 우려의 목소리가 나올 수 밖에 없습니다.

중요한 것은 앞으로 발생할 수 있는 인터넷 뱅킹의 위험을 감소시키기 위해 백신의 개발, 도입, 배포... 이런 것이 물론 중요합니다만,  은행이 비과실책임을 어느 선까지 담당하도록 해야 하느냐에 대한 논의가 무엇보다 중요합니다. 그렇지 않으면 지금처럼 또 A와 B로 갈려서 소모적인 논쟁이 계속해서 야기될 것입니다.  그 이전에 저 위의 물음표부터 뭐가 정답인지 논의해 봅시다.

"책임 소재 구분을 명확히 할 수 있는 사회적 합의 도출"이 제일 중요합니다.