다른 나라의 앞선 사례를 보면서 우리나라의 현실을 부끄러워할 때도 있지만 그 반대의 경우도 있다.
그간 우리가 정보보호에 끊임없이 기울여 온 노력이 어느덧 열매를 맺어 이 분야에서 우리가 쌓은 비교우위를 기분 좋게 실감하는 때가 있다. 최근 미국에서 벌어지고 있는 전자금융의 안전성에 관한 책임공방을 지켜보면서 자연스레 이런 생각이 들었다.
미국 플로리다주에서 발행되는 ‘사우스 플로리다 선 센티널’ 신문의 인터넷판에 최근 흥미 있는 소송 관련 기사가 실렸다. 내용을 간추리면 이렇다.
플로리다주의 수도 마이애미에서 프린터 잉크와 토너 등을 파는 작은 사업체를 운영하는 조 로페스는 이달 초 마이애미 순회법원에 미국 유수은행인 뱅크 오브 아메리카(BOA)를 고소했다. 소장에서 로페스는 “BOA가 고객에 대한 주의의무를 게을리했으며 온라인 뱅킹의 위험성을 알고 있으면서도 고객을 제대로 보호하지 않았다”며 BOA에 자신이 도둑맞은 은행예금 9만여달러를 물어내라고 요구했다.
센티널 신문에 따르면 로페스가 이번에 취한 행동은 사이버 범죄꾼들에게 예금을 털린 고객이 손해 본 돈을 회복시켜 달라며 은행을 상대로 제기한 미국 최초의 소송이다.
사건의 발단은 지난해 4월 6일로 거슬러 올라간다. 이날 로페스는 컴퓨터를 켜 자신의 예금계좌를 점검하다가 깜짝 놀랐다. 자신의 계좌에서 9만348달러65센트가 자신도 모르는 사이에 라트비아의 수도 리가에 있는 파렉스 은행으로 송금되어 버린 것이었다.
로페스는 수사를 의뢰했고, 수사기관에서는 1차 조사 결과 로페스의 컴퓨터에서 ‘코어플러드’라는 악성코드(바이러스)의 변종이 발견되었다는 회신을 보내왔다.
코어플러드에 감염된 컴퓨터에는 해커가 원격 접속할 수 있다. 그러나 수사기관은 바로 이 바이러스 때문에 로페스 예금이 무단인출된 것이라고 잘라 말하지는 않았다.
고객과 은행 간 전자금융의 안전성에 대한 책임소재를 놓고 지루하게 이어질 이 소송은 앞으로 미국의 전자금융 정보보호 현황을 새삼 되돌아보게 하는 계기로 작용할 것 같다.
우리나라에서는 이런 소송이 발생할 수 없다. 이런 범죄 자체가 성립될 수 없기 때문이다. 그것은 무엇보다 우리나라 인터넷 뱅킹의 자금이체에는 반드시 공인인증서(전자서명)가 사용되기 때문이다.
은행은 여기에 전자금융 고객들에게 안전카드까지 곁들여 쓰게 한다. 이중 삼중의 안전장치를 해 두기 때문에 적어도 우리나라에서 로페스 같은 피해자는 생길 수 없다.
앞에서 소개한 로페스 예금 사기 사건의 경우 범죄행위를 다음과 같이 유추해 볼 수 있다. 먼저 해커가 로페스의 컴퓨터를 바이러스에 감염시킨다. 그런 다음 로페스의 컴퓨터에 원격 침투해 로페스가 인터넷뱅킹으로 어떻게 돈을 이체하는지, 다시 말해 비밀번호로 어떤 숫자나 문자를 입력하는지 멀리서 들여다본다. 그런 다음 해커 자신이 로페스가 되어 예금계좌에서 돈을 빼내 유유히 사라지는 것이다.
하지만 이런 수법은 한국을 상대로 해서는 통하지 않는다. 설사 먼 나라의 외국인 해커가 고도의 해킹기술을 발휘해 한국인 홍길동의 공인인증서를 원격에서 훔쳐간다 하더라도 홍길동의 통장에서 돈을 빼내려면 예금계좌 비밀번호, 공인인증서 비밀번호, 안전카드 비밀번호를 동시에 알아야 하는데 이것은 현실적으로 불가능하다. 그리고 우리나라 전자금융 정보보호 수준을 잘 아는 내국인 해커는 아예 무모한 짓을 할 엄두를 내지 않는다.
이런 까닭에 우리나라에서는 로페스가 당한 것과 같은 사기사건은 일어나지 않는 것이다. 간간이 언론에 보도되는 전자금융을 이용한 부당 인출사고는 금융기관 내부자의 소행이다. 따라서 이런 종류의 사고는 전자서명을 제대로 사용하면 예방이 가능하다.
◆이홍섭 정보보호진흥원장 hslee@kisa.or.kr