해외에 거주중인 A씨는 B은행 인터넷뱅킹 서비스를 이용하다 황당한 경험을 당했다.

A씨는 얼마전 보험금 자동 이체를 하기 위해 인터넷뱅킹을 사용하던 중 비밀번호를 3회 잘못 입력해 계좌가 정지됐다. 오랫동안 인터넷뱅킹을 사용하지 않아 비밀번호를 잊어 버린 것이다. 결국 국제전화까지 걸어 B은행에 정지된 계좌를 풀기 위해 문의했지만 직접 방문을 하거나 영사관에서 발급하는 인증서류를 보내야 한다는 답변이 돌아왔다.

해외에 거주 중이어서 직접방문이 어려웠던 A씨는 혹시나 하는 마음에 스마트폰으로 이 은행 스마트폰뱅킹 앱을 사용했고, 정지된 계좌의 이체 서비스가 가능했다. 인터넷뱅킹과 모바일뱅킹이 연동되지 않아, 인터넷뱅킹에서 본인인증에 실패해도 스마트폰뱅킹은 사용이 가능했던 것이다.

금융권이 경쟁적으로 스마트폰뱅킹 서비스를 내놓고 있지만 다른 금융서비스에 비해 보안 수준이 낮아 자칫 대형 금융사고로 이어질 수 있다는 지적이 나오고 있다.

25일 업계에 따르면 시중 은행들이 선보이고 있는 대부분 스마트폰뱅킹 앱이 인터넷뱅킹 서비스에서 본인인증에 실패해 계좌가 정지돼도 별다른 제재 없이 이용이 가능하다. 또 스마트폰에서 공인인증서 비밀번호를 무제한으로 입력할 수 있다. 특히 스마트폰뱅킹 앱의 위변조가 손쉽게 이뤄져 송금 등 금융 기능을 사용할 수 있다는 점도 금융고객들을 불안하게 하고 있다. 한 은행 관계자는 "인터넷 뱅킹에서 비밀번호 오류 등으로 거래가 막혀도 스마트폰뱅킹을 이용하는 데에는 문제가 없다"며 "다만 횟수 제한 등은 그대로 적용하기 때문에 금융 사고 발생 확률을 극히 저조하다"고 말했다.

현재 시중 은행들은 금융거래시에 사용하는 공인인증서 암호를 무제한으로 허용하고 있다. 스마트폰에서 수백번 비번을 잘못 입력해도 사용자가 재로그인만 하면 별다른 제재 없이 사용할 수 있는 것이다. 은행들은 비밀번호 유출 우려는 거의 없다고 주장하지만, 시간의 문제이지 해커들 입장에서는 손쉬운 먹이감이 될 수도 있다.

시중 은행들은 금융당국이 정해놓은 수순에 따른 것이어서 어쩔 수 없다는 입장이다. 하지만 각종 금융거래 신종수법이 치밀해지는 만큼 공인인증서의 비밀번호 무제한 접속도 별도의 가이드라인으로 제한을 둬야 한다는 것이 전문가들의 입장이다.

금융당국도 모바일뱅킹과 관련한 세부적인 보안정책이 필요하다고 보고 보완대책을 마련할 계획이다. 금융감독원 관계자는 "스마트폰이 등장한지 오래되지 않아, 내년부터 IT보안의 집중 분야로 스마트폰뱅킹에 대한 세부적인 가이드라인을 손질할 예정"이라며 "공인인증서를 대체할 금융보안 기술도 발굴하기 위한 작업이 진행 중"이라고 밝혔다. 한 은행권 관계자는 "PC기준의 보안모듈 등 보안기준을 스마트폰에 맞추다 보니 정작 스마트폰에 적합한 보안 가이드라인이 없는 것"이라며 "은행들이 앱을 개발하면서 한계를 느끼는 것은 금융당국의 모호한 PC보안기준 룰을 그대로 따라야 한다는 것"이라고 밝혔다.

보안업계 한 관계자도 "해당 금융사의 앱을 직접 파헤치지 않더라도 그 앱의 모양과 로그인, 이체 기능 등을 유사하게 만든 가짜(피싱) 앱을 손쉽게 만들어 블랙마켓 등에 유포할 수 있다"며 "이러한 앱이 모바일 백신 우회 기능까지 사용할 경우 금융 고객의 아이디, 패스워드는 물론 공인인증서 암호까지 유출될 수 있다"고 경고했다.