늘어나는 피싱·스미싱… 금결원, 개인 위한 '제로 트러스트' 수단 확보 나선다
스마트폰에 신용카드 터치로 해결하는 인증수단 ‘트러스트원’ 추진
개인정보는 곧 공공재라는 비관적인 말이 일상적으로 쓰인다. 모르는 곳에서 문자를 받는 일은 이제 드물지 않다. 하지만 최근에는 이름, 휴대전화번호뿐만 아니라 신용카드 번호와 같은 신용정보도 안전하지 않다. 다크웹이나 해킹포럼, 텔레그램 등에서는 세계 각국의 신용정보가 불법적으로 유통되고 있다. 이중에는 한국인의 정보도 포함돼 있다.
금융사기, 범죄가 점점 더 진화하고 기승을 부리는 가운데 금융결제원이 해결책을 제안했다. 스마트폰에 집중돼 있는 인증을 분산시켜 휴대전화 해킹과 분실, 신용카드 정보 유출에도 안전한 ‘트러스트원(TrustOne)’을 통해 개인 관점의 제로 트러스트(Zero Trust)를 추진하겠다는 방침이다.
트러스트원은 8월30일부터 9월1일까지 3일간 서울 중구 동대문디자인플라자에서 진행되는 ‘코리아 핀테크 위크 2023’ 금융결제원 부스에서 소개됐다. 코로나19 이후 비대면 금융거래가 점점 더 확산되고 있는 상황에서 본인명의 휴대전화에 대한 통제권이 상실된 경우 안전을 담보할 수 없다는 문제의식에서 마련됐다.
사용 방법은 간단하다. 신용카드를 스마트폰 뒷면에 가져다 대면 근거리무선통신(NFC)을 통해 추가 인증이 수행된다. 금융결제나 계좌이체 등이 발생할 때 멀티팩터 인증(MFA)을 수행하자는 것이다.
멀티팩터 인증은 오늘날 보안의 기본이라고 할 만큼 흔히 사용되고 있다. 아이디/패스워드를 입력해서 로그인한 뒤 일회용비밀번호(OTP)나 간편결제 비밀번호를 입력하는 것들도 모두 멀티팩터 인증의 일환이다.
8월30일 코리아 핀테크 위크 2023 금융결제원 부스에서 시연 용도로 제작된 카드. 스마트폰 뒷면에 가져다 대면 NFC를 통해 추가 인증을 수행한다.
금융결제원이 제시하는 트러스트원의 특징은 기존 멀티팩터 인증 대부분이 스마트폰에 의존하는 것과 달리, 신용카드를 추가 인증 매체로 사용하겠다는 점이다. 이는 인증 매체 분리로, 보안이 중요한 기업 등에서는 노트북 사용 등에도 별도의 인증 매체를 사용하는 경우가 있다.
인증 매체 분리는 보안상 확실한 이점을 지니지만 편의성이 떨어진다는 단점도 있다. 금융결제원은 신용카드를 활용함으로써 불편을 최소화했다. 또 반드시 트러스트원을 사용해야 하는 것도 아니다. 사용자의 필요에 따라 선택할 수 있다. 과거 원하든, 원치 않든 의무적으로 사용해야 했던 공인인증제도 등과는 다른 부분이다.
가령 100만원을 초과하는 거래나 이체가 발생할 경우에만 트러스트원 인증을 사용하고, 일상적인 수준의 결제나 이체 때는 기존과 같은 방식으로 인증을 할 수 있다. 금액의 경우 개인이 자신의 패턴, 상황에 따라 유연하게 결정 가능하다.
금융 소비자 입장에서는 안전을 위해 선택권 하나를 더 준다는 점에서 나쁠 것 없는 일이다. 다만 트러스트원은 신용카드에 추가 인증을 위한 IC칩이 들어가는 구조다 보니 기존 카드로는 활용할 수 없다. 트러스트원 사용이 가능한 새로운 카드를 발급해야 하는데, 금융결제원은 해당 비용을 카드사가 부담하는 방향으로 협의를 이어가고 있다.
금융결제원은 개별 금융기관 중심의 대응이 아닌 국민 개인이 중심이 돼 금융생활 안전을 지키기 위한 방안으로서 트러스트원 도입을 추진하고 있다고 밝혔다. 도입 이후에는 은행, 카드사, 암호화폐, 통신, 쇼핑, 게임 등 다방면에서 활용할 수 있는 추가인증 수단으로 쓰일 전망이다.
금융결제원 관계자는 “카드사와 협의 중이다. 고객 안전을 위한다는 점에서 카드사에게도, 고객에게도 나쁘지 않은 일이라고 본다. 카드사에서도 전향적이다. 이르면 내년 상반기 즈음 서비스를 선보일 수 있을 것으로 본다”며 “장기적으로 새로 발급되는 카드는 모두 트러스트원을 활용할 수 있도록 칩을 내재하는 방향으로 유도하려 한다”고 말했다.