공인인증서 없이도 신용카드로 온라인 쇼핑몰에서 상품을 구입할 수 있게 되면서 이상거래탐지시스템(FDS) 같은 새로운 보안 패러다임에 대한 관심이 커지고 있다. FDS란 금융거래 시 불법이체, 카드거래 부정 사용 등 의심 거래를 분석·탐지하기 위한 시스템이다. 예를 들어 A씨가 서울에서 신용카드를 사용한 지 1시간 만에 미국 LA에서 같은 카드로 결제가 진행되면 FDS는 이를 부정사용으로 탐지하는 식이다. 단말기 정보, IP주소, 결제정보 등 빅데이터를 활용한다. 금융 산업, 특히 카드사와 은행이 많이 활용한다.
현재 미국에서는 전자상거래업체 아마존과 인터넷 결제서비스 페이팔이 FDS 시장지배적 위치에 있는 상태다. 국내에서는 대부분의 카드사들은 FDS를 이미 도입했으나 은행은 아직 미미하다. 국내 각 금융산업별 FDS 도입현황과 한계를 알아본다.
◆ 국내 카드사 오프라인 서비스만 FDS 구축…금감원 “금융기관에 보안수단 자율성 부여”
국내 금융산업에서 카드사의 경우, 오프라인 카드 사용에 대한 FDS 구축은 잘 돼 있지만 온라인은 거의 갖추지 못하고 있는 형편이라고 전문가들은 말한다. 시중은행도 상황은 비슷하다. 최근 금융감독원 조사에 따르면, 시중은행 18곳 중 KB국민은행, 신한은행, 부산은행 3곳만이 FDS를 구축한 것으로 드러났다.
미국은 대부분의 카드사와 은행이 FDS를 구축했다. 대표적으로 홍콩상하이은행(HSBC), 뱅크오브아메리카(BOA), 씨티은행 등이 FDS를 구축한 것으로 나타났다. 우리나라 금융감독원에 해당하는 미국 연방금융회사검사위원회(FFIEC)가 미 금융기관들이 FDS시스템을 구축하도록 유도했다. 조상원 CA테크놀로지스 부장은 “미국에서는 FDS 등의 보안시스템을 갖추는 것을 ‘우리 은행은 안전하다’는 일종의 마케팅 도구로 활용한다. 그래야 경쟁력을 높일 수 있다”고 말했다.
금융위원회와 금융감독원은 지난 20일부터 내·외국인 구분 없이 온라인 카드 결제 때 공인인증서를 의무적으로 사용하는 제도를 폐지하는 내용을 담은 '전자금융감독규정 시행세칙' 개정안을 시행했다. 온라인 카드 결제 시 공인인증서를 의무적으로 사용하지 않아도 되기 때문에 국내에도 FDS 같은 새로운 보안시스템 도입이 봇물을 이룰 전망이다.
윤택중 금융감독원 IT감독국 부국장은 “공인인증서 의무 사용을 폐지함 개정안을 통해 각 금융기관이 자율성을 바탕으로 대체 수단을 개발해 보안 기술을 발전시킬 수 있기를 기대한다”고 말했다.
◆ “FDS 국내 도입 불가피하지만… 기술 투자가 먼저”
전문가들은 장기적으로 FDS가 보안 시스템으로 완전히 구축돼야겠지만, ‘속도전’보다는 기술 투자가 우선이라고 지적했다. 준비도 없이 당장 FDS 도입을 밀어붙였다가는 현재 공인인증서보다 더 보안 위협에 노출될 수 있다는 것이다.
김승주 고려대 정보보호대학원 교수는 “국내가 보안에 대한 개념이 늦게 확립된 만큼 관련 기술에 대한 저투자 환경부터 개선돼야 한다”며 “투자를 지속하면 보안 기술이 더 정교해질 것”이라고 말했다.
지난해 한국정보화진흥원 자료를 보면, IT 기업 전체 예산 중 5% 이상을 정보보호에 투자하는 기업 비율이 영국은 51%, 미국은 40%에 달하는 반면 한국은 3%에 그쳤다.
보안솔루션 업체 라온시큐어 박찬암 보안연구기술팀장은 “미국의 경우 FDS 같은 보안 기술에 투자하기를 마다하지 않지만 국내에서는 아직 FDS 자체가 생소한 개념”이라며 “이를 위해 보안 업체나 연구소에서 기술력 개발을 위한 투자에 주력하고 국가 기관에서도 보안 시스템을 도입하는 기준을 끌어올려야 할 것”이라고 말했다.