공인인증서 대체용 ARS 전화인증 보안성, 카드업계 갑론을박

아주경제 장윤정 기자 = 카드업계가 공인인증서 대체로 도입중인 자동응답전화(ARS) 인증방식에 대한 보안성 논란에 휩싸였다.

최근 삼성카드는 ARS 아웃바운드 인증방식을 도입했으며 신한카드는 ARS 인바운드 방식을 도입했다. 나머지 카드업계는 아직 방식을 놓고 고민을 거듭하고 있다. 올 초 카드 고객정보 유출 사고로 한바탕 홍역을 치룬 카드업계로서는 보안문제라면 잠을 자다가도 깰판이다.

이 과정에서 신한카드는 자사의 ARS인바운드 결제 방식이 보안성을 담보한다며 대대적인 홍보에 나섰다. 그러나 금융계 안팎이나 보안업계가 인바운드보다 오히려 아웃바운드 형태의 ARS 인증방식의 보안성이 높다는 입장으로 맞서면서 카드업계ARS인증방식의 보안성 논란은 점화되는 양상이다.

이달부터 온라인에서 30만원 이상 결제시에도 공인인증서를 사용하지 않아도 된다. 이는 지난 3월 금융위원회가 발표한 '전자상거래 결제 간편화 방안'에 따른 조치다. 카드사들은 본인인증 수단으로 공인인증서 대신 ARS인증을 사용키로 했다.

신한카드는 오는 28일부터 온라인 결제시 ARS본인인증을 시작한다고 밝혔다. 신한카드측은 "결제창에 신한카드가 지정한 전화번호를 띄우고 고객이 직접 휴대폰으로 해당번호에 저장을 하는 인바운드 형태"라며 "아웃바운드 방식은 고객 스마트폰에 숨어있는 악성코드를 통한 다른 전화로의 착신 사례가 발표돼 보안 취약성이 있어 인바운드 형태를 채택했다"고 설명했다.

하지만 현업에서 보는 입장은 다르다.

다른전화로의 착신전환 서비스는 기지국 차원에서 원천 차단하고 있기 때문에 아예 발생할 수 없다는 것. 착신전환 서비스는 전화인증을 이용할 경우 착신전환된 고객에게는 전화가 연결되지 않도록 방지 시스템이 구축돼 있다. 현재 은행권 17개 은행에서 서비스하고 있다. 

1금융권 한 보안 담당자는 "인증용 ARS는 착신전화 서비스가 불가능하도록 통신사에서 막아놨다"며 "설혹 악성코드에 감염되어도 착신전화가 다른 사람에게 전달되는 경우는 없다. 기지국에서 이를 차단하도록 구성했기 때문"이라고 설명했다.

또 그는 "ARS 인바운드 방식과 마찬가지인 텔레뱅킹 서비스가 지정번호를 도용해 사고가 발생한 사례가 훨씬 많다"며 "무선 사설 교환기와 인터넷전화기를 사용하면 고객에게 보내는 전화번호를 변조해 금융기관이 지정한 번호를 바꿔 고객에게 전달할 수 있다"고 말했다. 

인바운드 방식은 고객에게 사전 지정된 전화번호를 문자메시지로 보내고 금융기관에 직접 전화를 걸어 본인임을 입증하는 방법이다. 텔레뱅킹이나 금융기관 콜센터에 전화하는 것처럼 이용자가 직접 금융기관에 전화를 건다. 이 방식의 경우 앞서 현업 전문가의 설명처럼 전화교환기 등을 통해 발신번호 조작이 가능하므로 해킹 또는 사기의 위험이 노출될 수 있어 보안 취약점이 존재한다는 것이다.

이미 금융감독원은 지난 2012년 ARS 인바운드 형태로 발신번호 조작이 가능함에 유의할 것을 정례 브리핑 자료로 배포한 바 있다.

반면 ‘아웃바운드’ 방식은, 금융기관에서 직접 고객에게 전화를 건다. 금융기관이  ARS시스템에 의해 고객 전화로 전화를 걸어, 거래 내역 사실을 ARS 멘트로 안내 한 후 최종적으로 고객이 승인을 하는 방식이다. 고객에게 직접 ARS 시스템으로 전화를 하는 과정에서 착신전환된 고객의 전화가 악성코드에 감염돼 해커에게 전달될 수 있다는 지적이 있지만 이는 앞서 설명한데로 통신사에서 원천 차단돼있다.

현재 다수 은행이 아웃바운드 방식인 ARS 전화인증 방식을 채택, 사용하고 있다. 지난 1월 금융위원회 역시 아웃바운드 방식의 ARS인증은 사기 피해 사례 없이 안전하게 사용 가능함을 보도자료로 배포한 바 있다.

업계 전문가들은 “‘인바운드’ 방식의 ARS 인증 시스템은 콜센터 시스템 방식과 유사하기 때문에, 단 기간에 쉽게 구축할 수 있다는 장점이 있다"며 "카드사가 어떤 방식을 선택할지는 자율이지만 고객 자산이 오가는 만큼 안전을 생각해 입증된 가장 안전한 보안방식을 채택해야한다"고 조언했다.