[디지털데일리 이상일기자] 최근 SK텔레콤 유심 정보 유출, KT 소액결제 사고, 롯데카드 고객정보 유출 등 연쇄 해킹 사건이 발생하면서 금융소비자들의 불안 심리가 고조되고 있다. 편리함을 강조해온 인증 체계가 오히려 자산을 위협할 수 있다는 지적이 나오며, 금융 보안에 대한 신뢰 위기가 사회적 과제로 부상했다.

이에 따라 금융당국은 규제 개혁과 기술 혁신을 결합한 종합 대응책을 내놓고 있다. 금융위원회, 금융감독원, 경찰, 과학기술정보통신부는 합동으로 전권역 금융기관과 IT기업을 대상으로 보안실태 긴급 점검에 착수했다. 당국은 침해 사실을 늑장 신고하거나 은폐할 경우 강력 제재를 가하겠다고 밝혔으며, 롯데카드에 대해서는 영업정지 6개월과 과징금 50억 원 등 법적 최고수위 징계 방안을 검토 중이다. 피해자 보호를 위해 카드 즉시 재발급, 비밀번호 재설정, 24시간 상담체계 운영, 사고 공지 강화 등의 조치도 시행됐다.

지난 9월 23일에는 전 금융권 정보보호 최고책임자(CISO) 간담회를 열어 CISO 직접책임제 강화, 사이버 보안 훈련 확대, 전행 보안점검 의무화를 논의했다. 향후에는 징벌적 과징금 부과, 보안 등급별 공시제, 전 임직원 상시 보안 교육, 보안 취약점 즉시 패치 의무화 등 제도 개선이 추진된다. 동시에 인공지능(AI) 기반 이상거래 탐지, 실시간 침해 조기경보 시스템 확대, 피해 범위 투명 공개와 신속한 고객 구제 의무 강화 등 기술적·실무적 대책도 병행된다.

국내외에서 연쇄적인 해킹 사고가 이어지면서 금융 소비자들의 불안 심리가 한계에 다다른 상황이다. 단순히 피해 경위를 규명하고 재발 방지책을 내놓는 것만으로는 불신을 해소하기 어렵다는 지적이 나온다. 이런 가운데 국내에서는 금융 소비자가 직접 자신의 자산 보호 수단을 선택할 수 있게 하는 새로운 인증 체계가 대안으로 떠오르고 있다. 바로 금융결제원이 추진 중인 ‘트러스트원(TrustOne)’이다.

트러스트원은 금융소비자가 보유한 신용·체크카드를 본인의 스마트폰에 직접 태깅하면서 소비자를 식별·인증한 후 거래가 가능하도록 설계됐다. 비인지 상황에서의 거래를 근본적으로 차단할 수 있어, 단순히 보안을 강화하는 차원을 넘어 금융소비자가 불안감을 줄이고 스스로 자산 보호 수단을 선택할 권리를 회복할 수 있다는 점에서 의미가 크다.

업계는 이를 ‘매체 연계형 인증’이라 부른다. 실물카드를 태깅하는 번거로움이 일부 불편을 유발할 수 있으나, 이번 사건들이 보여주듯 ‘편의성만 강조된 인증 구조’는 결국 소비자에게 더 큰 위험과 부담을 전가한다. 기존 스마트폰 기반 인증도 방어는 가능하지만 개인정보가 탈취된 상태에서는 우회적 공격과 탈취 가능성을 완전히 배제하기는 어렵다. 트러스트원은 국민의 일상적 신용·체크카드가 ‘금융 포비아를 불식시키는 방패’로 기능하도록 설계됐다는 점에서 정책적 의미가 있다.

금융권 입장에서도 매체 연계형 인증은 실익이 있다. 최근 금융사고에 대한 보상 책임이 강화되는 상황에서, 사전 차단 장치를 갖추면 피해 규모와 보상 부담을 줄일 수 있기 때문이다. 전문가들은 정책이 금융권의 책임을 강화하는 동시에 합리적인 책임 경감 장치도 함께 마련해야 한다고 지적한다. 피해를 입은 개인뿐 아니라 보상 의무를 지는 금융기관 역시 사실상 피해자라는 점에서 공동 피해자 관점을 정책 설계에 반영할 필요가 있다는 주장도 제기된다.

다만 새로운 인증 체계가 시장에 안착하려면 제도적 기반이 필요하다. 업계에서는 과학기술정보통신부 등 관계 부처가 2차 인증 의무화 등 제도 개선을 논의해야 한다는 목소리가 나온다. 새로운 기술이 불편이나 비용 문제로 사장되지 않도록 정책적 지원이 뒤따라야 한다는 것이다.

전문가들은 소비자가 자신의 자산이 본인도 모르게 빠져나가는 위험을 스스로 통제할 수 있어야 한다고 강조한다. 동시에 기존 매체 분리형 인증기기를 별도로 휴대해야 하는 불편은 줄여야 한다. 이를 위해서는 보안성과 편의성을 모두 확보한 서비스가 필요하다. 적용 범위를 은행권 이체·송금뿐 아니라 전자결제·자동결제 등 국내 모든 결제 프로세스로 확대하면, 동일한 절차 아래에서 공정한 경쟁이 가능해질 것이다. 이는 정책적 판단이 필요한 사안이다.

트러스트원은 국내 스타트업의 원천 기술을 토대로 금융결제원이 추진한 세계 최초의 시도라는 점에서 의미가 크다. 상업적 이익보다 금융 보안 강화를 우선시한 드문 사례이기도 하다.

금융결제원은 이번 서비스를 단순한 모바일 인증 강화가 아니라, 모바일 기기에 집중된 위험을 분산시키는 구조적 전환으로 보고 있다. 기존의 스마트폰 단독 인증은 기기 해킹 시 모든 정보가 한꺼번에 노출되는 문제가 있었지만, 트러스트원은 신용·체크카드라는 실물 매체를 함께 태깅하도록 해 이러한 단점을 보완한다. 즉, 모바일 단말 의존도를 낮추고 실물 매체를 연계해 ‘금융 포비아’를 줄이는 새로운 인증 체계라는 점에 의미가 있다.

금융결제원 박종석 원장은 지난 5월 “이 서비스가 출시되면 전자금융사기나 해커 등의 공격으로부터 고객의 금융자산을 안전하게 지킬 수 있을 것”이라며 “아직 준비 중인 단계로 카드사와 은행 등 금융기관들과 협력이 필요한 상황”이라고 밝히기도 했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -