국제표준 무시, 명령어 보안검증 부실
);)
자료=김승남 의원실
새정치민주연합 김승남 의원은 15일 N은행과 K은행이 국제표준(ISO)을 무시하고, 명령어에 대한 보안 검증도 안한 ‘스마트 OTP’ 제품을 고객에게 공급했다고 밝혔다.
김승남 의원에 따르면 전문가를 통한 검증결과 이들 은행에서 제공하고 있는 스마트 OTP가 금융결제원의 칩 규격서를 전혀 따르지 않고 있으며, 국제표준 또한 지키지 않고 있는 것으로 나타났다.
스마트 OTP에 내장되는 카드 프로그램은 개발자만이 알고 있는 고유한 것이기 때문에 프로그램의 투명성을 보장하기 위해서 규격서에서 지정하는 이외의 동작을 하면 안된다는 설명이다.
그러나 이들 은행의 스마트 OTP카드는 특정 명령어가 규격서에서 요구하는 이외의 동작을 하고 있어 실제로 어떤 위법 행동을 하는지는 개발자 이외에는 아무도 알 수 없게 되어있다.
김 의원은 “금융결제원과 은행들은 이러한 사실을 알면서도 스마트OTP 서비스를 강행하고 있어, 향후 심각한 문제가 발생할 수 있다”고 경고했다.
더불어 김 의원은 금융결제원으로부터 인증 받은 모든 스마트 OTP 개발사(현재 5개사)가 각기 다른 규격을 쓰고 있어, 은행간 연동을 위해 인력 및 소요 비용의 낭비가 발생하고 있다고 지적했다.
김 의원은 “금융위가 금융회사의 자율과 책임을 확대했다고 자화자찬하고 있지만, 정작 기본적인 보안성이 취약한 OTP를 의무사용토록 하고 있다”며 “금융결제원과 은행들은 자율적인 기술 확보보다는 책임 회피성으로 보안성 검증조차 하지 않은 시스템을 무조건 추진하고 있다”고 비판했다.
아울러 김 의원은 “핀테크 기술들이 보안상 문제가 없도록 공통규격과 이를 테스트 할 수 있는 인증시험 기반을 구축해야 한다”고 주장했다.
조계원 기자 chokw@
뉴스웨이 조계원 기자
chokw@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
댓글