KB국민은행이 1일 저녁 7시부터 액티브X, NPAPI 등과 같은 플러그인을 통한 보안프로그램을 설치할 필요가 없이도 사용할 수 있는 인터넷뱅킹 서비스(브라우저인증)를 시범 도입했다.
그동안 오류가 많았던 키보드보안, 개인방화벽, 공인인증서 구동 프로그램 등 일명 보안3종세트 중 웹표준(HTML5)만으로 구현할 수 있는 공인인증서 구동 프로그램과 '스마트OTP'로 불리는 일회용비밀번호(OTP) 입력용 카드를 조합해 이체가 가능토록한 것이다.
기자는 직접 KB국민은행 창구에 방문해 통장을 개설한 뒤 발급받은 스마트OTP카드(KB스마트원카드)를 활용해 최신 구글 크롬 브라우저(버전45)에서 계좌이체가 제대로 작동하는지 여부를 확인해봤다.
그 결과 크롬 버전45에서도 공인인증서를 통한 전자서명, 스마트OTP 입력을 통해 이체가 가능하다는 점이 확인됐지만 처음 공인인증서를 발급받아 활용하기까지 여전히 여러가지 단계를 거쳐야한다는 점에서 기존 방식보다 확실히 편리해졌다는 느낌을 받지는 못했다. 키보드보안프로그램을 대체하기 위해 웹표준 환경에서 구현한 가상키패드의 경우 입력화면이 웹브라우저 화면 아랫쪽에 위치해 있는 탓에 입력할 때마다 창을 드래그해서 위로 올려야하는 불편함도 개선이 필요해 보인다.
먼저 최신 크롬 브라우저로 KB국민은행 인터넷뱅킹 사이트에 접속했다. 기존 방식인 공인인증서 로그인 아랫쪽에 '브라우저인증서 로그인'이라는 항목이 표시됐다. 해당 항목을 클릭하면 '전자서명작성'이라는 팝업창이 뜬다.
이곳에서 인증서 변환프로그램(certconverter.exe)을 설치한 뒤 이전에 다른 은행에서 등록해 사용해왔던 공인인증서 'pfx(p12)'로 변환시키면 인증서와 개인키 묶음파일이 생성된다. 이 파일은 다시 웹브라우저 내 로컬저장소에 저장된다.
다른 은행에서 발급받은 공인인증서를 사용하고 있었던 탓에 타행/기관 인증서 등록절차를 거쳐야만 KB국민은행 계좌에서도 해당 인증서를 쓸 수 있었다. 이 과정에서 추가 본인확인절차를 위해 ARS인증을 선택했다. 스마트폰으로 온 전화를 받고 승인번호를 폰에 입력하면 승인이 완료된다.
다음으로 계좌번호와 비밀번호, 스마트OTP 입력을 위해 스마트폰에 KB스마트원카드를 가까이 갖다대고, NFC기능을 통해 OTP를 입력하는 과정을 거쳤다. 이런 일련의 과정을 거쳐 웹브라우저에 저장된 공인인증서와 개인키를 활용해 이체를 할 수 있게 된다.
기존 인터넷뱅킹, 모바일뱅킹에 사용됐던 보안카드 대신 스마트OTP카드를 활용할 경우 이전보다 훨씬 편리하게 보안기능을 활용할 수 있게 된다. 다만 이 과정에서도 해당 은행이 제공하는 KB스타뱅킹이라는 모바일뱅킹앱에 KB스마트원카드를 쓰기 위한 별도 단말기 등록과정이 필요하고, 다른 스마트폰에서 쓰려면 창구에 직접 방문해야한다는 점은 한계로 작용한다.
가상키패드는 키보드 형태의 팝업창을 띄운 뒤 그곳에 마우스로 자판을 클릭하는 방법으로 비밀번호와 같은 중요 정보를 입력하는 방식이다. 아직은 익숙치 않은 탓에 영어대소문자/숫자/특수기호 등을 조합한 비밀번호를 사용할 경우 빠르게 입력하기는 힘들었다. 가상키패드 팝업창이 나타나는 위치도 웹페이지를 벗어나 있어 위쪽 숫자 입력 부분만 보인다는 점도 수정이 필요해 보인다.
브라우저인증서가 웹표준을 따르는 건 맞지만 이전 방식처럼 다른 은행에서 발급한 인증서를 활용하기는 어렵다. 각 은행마다 별도의 웹브라우저 내 로컬저장소에 인증서와 개인키를 변환한 파일을 저장해야 하기 때문이다.
웹표준을 지키면서 이전까지 인터넷뱅킹에 적용해 왔던 기존 보안프로그램들을 그대로 사용할 수 있게 하는 것은 여전히 어려운 문제다. 아예 다른 방식의 보안프로그램들을 도입하거나 은행들이 자사 서버 등 뒷단에서 이상금융거래탐지시스템(FDS) 고도화, 사기방지모니터링 강화 등이 필요할 것으로 전망된다.
KB국민은행 관계자는 "처음 웹표준 기반 인터넷뱅킹을 도입하다보니 고객들 반응을 보면서 오류도 수정해야할 것"이라며 "키보드보안, 개인방화벽은 순수 웹표준 기술만으로는 구현하기 어려운 것이 사실"이라고 설명했다.
관련기사
- 액티브X 필요없는 인터넷뱅킹 나왔다2015.09.02
- 액티브X 없는 인터넷뱅킹, 열릴듯 잘 안열리네...2015.09.02
- 엣지·크롬에 대한 은행 IT담당자들의 고민2015.09.02
- "보안위해 계좌이체 하루걸리고 OTP 쓰게 해야"2015.09.02
웹표준 준수 여부와 별개로 보안적으로는 하드디스크, USB메모리에 공인인증서와 개인키를 저장하는 방식과 비교해 브라우저인증서가 더 안전한 방식이라고 보기는 힘들다. 이 은행이 먼저 출시한 KB스마트원카드는 스마트OTP 기능 외에도 본래 IC칩 내에 안전한 공간에 인증서와 개인키를 저장하는 용도로도 쓸 수 있게 하고 있으나 아직 해당 기능은 제공되지 않고 있다.
그럼에도 불구하고, 웹브라우저나 마이크로소프트, 구글 등이 제공해 온 액티브X, NPAPI 등 플러그인 기술에 휘둘리지 않는 서비스를 처음 시도했다는 점에서 브라우저인증서의 의미가 큰 것은 분명하다. 다만 추가적인 보완책을 마련해 지속적으로 서비스의 편리함과 보안성을 동시에 높이는 작업이 구축 자체보다도 더 중요해질 것으로 예상된다.
