워낙 게으른 탓에 뭐든 움직이지 않고 할 수 있는 방법이 있다면, 처음에 조금 성가시더라도 일단 그러한 시스템을 꾸며놓는게 내 성미에 맞다. 종종 인터넷에서 물건을 살 때 신용카드가 없어서 무통장입금으로 결제를 해놓고 은행까지 가서 계좌이체를 하는 것이 너무나 귀찮아, 인터넷 뱅킹을 신청한지도 벌써 수년 전 일이다. 이제는 인터넷 뱅킹으로 계좌이체를 하는 것조차 귀찮아서 체크카드를 신청해 사용하고 있다.
은행도 늘어가는 창구 관리비용과 인건비를 줄이기 위해서 인터넷 뱅킹이나 ATM을 이용한 은행거래에는 인센티브를 주는 반면에, 간단한 입출금 거래를 가지고 창구에까지 오면 엄청난 수수료를 물리는 등의 패널티를 주고 있다. 그러한 패널티 자체가 은행으로써 감수해야 하는 당연한 서비스 비용에 포함됨에도 불구하고, 발생하는 비용을 무조건적으로 고객에게만 전가하는건 잘못되어도 한참 잘못된 일이지만, 창구에 가본지도 한참 오래전의 일이고 무엇보다 인터넷 뱅킹이나 ATM으로 거래시 수수료가 없거나 거의 없다는 사실은 커다란 매력이다.
만약 집에 컴퓨터가 없다면, 은행에 설치되어 있는 인터넷 뱅킹 전용의 공용컴퓨터를 이용할 수도 있다. 무엇보다 창구에서 번호표를 뽑고 한참이나 기다릴 필요도 없고, 중언하는 바 수수료도 아낄 수 있다.
얼마전 사용자의 키보드 입력을 중간에 가로채서 인증서를 재발급받아 타인의 계좌에서 인터넷 뱅킹을 통해 거액을 불법 인출한 사건이 있었다. 어차피 ID, PASSWORD 인증방식을 근간으로한 (크게 보면 공인인증서도 ID, PASSWORD 인증을 좀 더 복잡하게 한 것에 지나지 않는다.) 현존하는 인증시스템 내에서는 계속적으로 이러한 범죄가 발생할 수 밖에 없다. 아예 획기적으로 생체정보를 통한 인증이나, 별도의 하드웨어적인 Key를 발급하는 등의 시스템적인 전환이 이루어지지 않는 이상, 그 무엇도 안전할 수 없다. 그러나 생체정보나 하드웨어 키로의 전환이 이루어진다고 해도, 그때문에 발생하게 될 비용은 과연 누가 부담할 것인가? 은행이? 아니면 고객이?
그렇기 때문에 현재로써는 사용자 쪽에서 최대한 이런저런 것들을 조심하는 것 밖에, 자신의 계좌를 지킬 수 있는 방법은 없다.
그런데 원래 하고자 했던 얘기는 이게 아니었다. 나는 좀 화가, 아니 짜증이 났다. 불법 계좌 인출 사건이 일어나기 전까지 내가 거래하던 은행사들은 비교적 보안에 대해, 일종의 너그러움을 갖고 있었다. 그 너그러움이란, 소위 해킹 방지 프로그램 이라는 것을 깔지 않아도 성가시게 그걸 다시 깔겠냐는 메시지를 띄우지 않았던 것이다. 나는 보안에 민감하다고 생각하고 있었고 딱히 백신을 쓰지 않더라도 (나는 램에 상주해서 시시때때로 내가 사용하는 모든 메모리나 네트워크 트래픽, 심지어는 메일까지 감시하는 백신을 완전 싫어한다.) 지금까지 바이러스때문에 고생해본 적이 없다. 이건 내가 몇가지 원칙을 지키기 때문이다. (게다가 방화벽 기능이 제공되는 인터넷 공유기를 쓰기 시작했을때부턴 웜에 대해서도 신경쓸 필요가 없었다.)
어쨌든 공인인증서를 위한 기본 프로그램과, 끽해야 네트웍 트래픽을 감시하는 것처럼 보이는 보안 프로그램을 더 깔겠냐고 묻는게 전부였다.
그러나 사건이 일어나고 다음부턴 인터넷 뱅킹을 하러 사이트에 접속하는게 굉장히 성가시게 되었다. 일단 공인인증서를 위한 프로그램을 깔고, 키보드 해킹 방지 프로그램을 깔며, 네트워크 트래픽을 감시하는 프로그램을 또 깔고, 거기다가 하드를 검색해서 알려진 해킹툴이 있는지 없는지까지 확인하는 프로그램을 깐다. 도합 4개나 내 시스템이 깔아야 하는 것이다. 깔기 싫다고 ‘아니오’를 선택하면, 페이지가 바뀔때마다, 혹은 현재 페이지 내에서도 자꾸만 깔겠냐고 묻는다.
나는 왜 이것이 선택적으로 깔게 되어 있지 않은지 이해 할 수가 없다. 나는 은행이 추천하는 보안 프로그램들이 그다지 효율적으로 돌아간다고 믿지도 않으며, 심지어 이 플러그인 류의 프로그램들은 인터넷 뱅킹을 종료해도 여전히 종료되지 않고 시스템 트레이에 남는다. 이건 또 하나의 공해다.
물론 요즘의 크래킹 유행은 점차적으로 서버 중심에서 클라이언트 중심으로 옮겨가는 것 같다. 즉, 엄청난 방화벽과 관리인원에 의해 섬세하게 감시되는 서버 자체를 크래킹하기 보다는, 상대적으로 보안에 취약한 클라이언트의 말단을 크래킹해서 서버로 침투하는 것이다. 은행이 이것에 매우 민감하다는 것은 인정할 수 있다. 그러나 그까짓 보안 프로그램 몇 개 깔았다고 해서 사용자를 크래킹의 위험으로부터 완전히 보호하고 있다고 믿는 것은 어리석은 일이다. 만약, 이러한 공개된 보안 툴들을 원천적으로 무력화 시키는 크래킹 툴이 먼저 사용자의 시스템에 설치되어 있다면, 어떻게 할 것인가? (아직까지 그런 툴이 있다는 이야긴 들어보지 못했지만) 또 사용자는 이러한 툴들에 너무나도 의존한 나머지, 공용 컴퓨터에서도 인터넷 뱅킹을 시도할지 모른다. 이러한 보안 툴들이 자신을 지키는 한 안전하다고 믿으면서 말이다.
보안에 가장 큰 구멍은 바로 인간이다. 계속적인 사용자 교육에 비용을 투자하는 것이, 보안 툴을 설치하는데 드는 비용보다 결과적으로는 더욱 큰 가격대 성능비를 낼 것이다.
이도저도 싫다면, 그냥 계속 창구거래를 하는 것도 좋은 방법이다. 통장만 잃어버리지 않는다면, 이것이 가장 안전한 방법이다.