◇편한 서비스만 보여주는 은행…뒤에서 쉴새 없이 돌아가는 ‘보안’=카뱅은 인터넷전문은행 사업에 대한 기본 구조와 서비스를 만드는 설계 단계부터 디자인팀과 함께 보안팀이 투입돼 머리를 맞댔다. 애당초 이용자들에게 불편함을 주는 보안정책을 펴지 않겠다는 의지에서였다. 시중은행에선 좀처럼 찾아보기 힘든 장면이다. 카뱅 보안 자문위원을 맡은 김승주 고려대 교수는 “보안 수준을 높이면 사용자가 불편도 크다고 말하는데 애플 제품의 경우, 보안 수준은 높지만 이용자들은 아주 편리하게 사용하고 있다”며 “국내에서도 이런 서비스를 시도해보자는 취지에서 출발했다”고 말했다.
이렇게 탄생한 게 카뱅의 ‘숨은 인증체계’다. 카뱅은 서비스 가입과 로그인, 송금하는 전 단계에서 공인인증서가 필요 없다. 하지만 서비스 뒷단에서 공인인증서와 맞먹는 강력한 인증 시스템이 숨 쉴 틈 없이 돌아간다. 이용자의 눈에 띄지 않을 뿐이다. 송금을 하려면 계좌번호나 전화번호, 보낼 금액 등을 누른 후 앱 실행 초기에 설정한 ‘인증비밀번호’를 한번 누르면 된다. 이 인증비밀번호를 넣는 순간 이른바 ‘카뱅 인증서’가 시스템 안에 생성된다. 인증서는 공개키기반구조(PKI) 기반으로 작동하며 내부에서 키보드 보안프로그램도 작동된다.
서비스가 편리한 만큼 보안 기능은 약하지 않을까. 오히려 시중은행과 비교할 수 없을 정도로 보안 수준이 높다는 게 보안 전문가들의 평이다. 암호 키(Key) 관리 방식이 대표적이다. 암호 키는 데이터를 암호화하거나 복호화할 때 필요한 정보 값으로, 민감한 정보를 다루는 금융기관에서 중요도 1순위로 꼽힌다. 카뱅은 암호 키 생성부터 폐기까지 전 과정을 사람 손을 거치지 않고 중앙 시스템에서 관리한다. 암호 키를 내부 직원들이 관리하는 방식을 쓰고 있는 시중은행들과 비교하면 파격에 가깝다. 암호키 솔루션을 공급한 한컴시큐어 송상엽 이사는 “카카오뱅크는 업무 영역과 관련한 인프라와 실제 물리적인 보안을 담당하는 보안 영역에 대한 권한 분리를 명확히 해 내부와 외부의 정보 유출 우려를 원천 차단했다”며 “이 정도면 해외 유수 금융권과 비교해도 뒤처지지 않는 수준”이라고 귀띔했다.
◇카뱅, 금융 보안 패러다임 바꿀까=카뱅 돌풍은 기존 금융 보안 패러다임에도 적잖은 변화를 불러일으킬 전망이다. 무엇보다 시중 금융권의 ‘옥상옥 보안체계’를 뒤흔드는 신호탄으로 작용할 것으로 관측된다. 은행들은 새로운 금융 시스템을 만들고 사고가 나거나 허점이 발견될 경우 이를 막기 위한 보안시스템을 하나씩 얹는 방식으로 대응해왔다. 그러다 보니 점점 불필요한 시스템이 늘고 서비스 효율도 떨어지기 일쑤다. 반면 카뱅의 경우 애초 시스템 구축 단계부터 다양한 상황을 예측해 최적의 보안 시스템을 탑재했다. 이를 통해 안정성도 높이고 서비스 속도 경쟁력도 높일 수 있다. 카뱅 보안컨설팅에 참여한 김기영 플라이하이 대표는 “밀가루를 반죽해서 곧바로 만든 빵과 숙성 과정을 거쳐 만든 빵의 모양은 같아도 맛이 같을 수 없듯이, 보안도 고민의 과정을 거친 것과 그렇지 않은 것의 차이가 크다”며 “보안 제품을 끼워 맞추기 식으로 갖다 붙이는 게 아니라 보안과 서비스, 보안과 비즈니스가 서로 어떻게 잘 연동되는지를 살폈다”고 말했다.
2015년 금융당국이 금융권 공인인증서 의무사용규정을 폐지했지만 공인 인증서를 요구하는 인터넷뱅킹 서비스는 여전히 사라지지 않고 있다. 새로운 시스템 혹은 기술 도입으로 사고가 발생할 경우 책임 부담이 더 커지기 때문이다. 박성기 스마트솔루션 대표는 “이용자들이 카뱅에 열광하는 이유는 기존 은행권이 공인인증서 틀에 얽매여 있을 동안 이용자 입장에서 더 편리한 인증 그 자체에 대한 고민을 치열히 한 결과라고 생각한다”며 “신참 은행이 인증의 새로운 패러다임을 쓴 것”이라고 평가했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]