지난 10월 5일 토스뱅크가 출범했다. 카카오뱅크, 케이뱅크에 이어 약 4년 만에 탄생한 인터넷전문은행이다. 토스뱅크는 조건없이 연 2%의 금리를 보장하는 통장으로 화제를 모았다. 자동이체나 급여이체 같은 조건을 부여하지 않아도 보통 적금 상품에서나 볼 수 있는 금리를 제공한다. 입출금이 자유롭고, 만기도 없다.
“고객이 고민할 필요 없는 가장 단순한 상품을 통해 고객이 찾지 않아도 최고의 혜택을 먼저 제시하며, 기술 혁신을 통해 더 넓은 범위의 고객을 포용하는 은행을 추구한다.” 토스뱅크가 선언한 ‘완전히 새로운 은행’에 금융소비자도 호응했다. 무려 170만명이 토스뱅크 통장 사전신청을 했다. 10월 18일부터 누구나 토스뱅크를 이용할 수 있게 됐다.
토스 이용자가 통장 개설을 위해 가장 먼저 밟는 절차는 본인확인이다. 비대면 실명확인 수단으로 토스는 타 은행 계좌의 비밀번호 입력을 통한 본인인증이나 1원 송금을 통한 본인인증을 제시하고 있다. 두 방법 중 비밀번호 입력을 먼저 제안한다. 하지만 이용자 일부는 이런 방식의 본인인증을 불안하게 받아들이고 있다. 한 이용자는 지난 10월 14일 페이스북 페이지 ‘생활코딩’에 올린 글에서 “비밀번호를 모른다고 하면 다른 은행처럼 1원 송금을 통한 본인인증으로 넘어가는데, 이럴 거면 왜 처음에 비밀번호를 요구하는 본인인증 방식을 취한” 것인지 의문을 제기했다. 그는 “개인의 보안을 침해하는 행동이라 느껴져 매우 불쾌했다”고 밝혔다.
■본인 확인 위한 타행 비밀번호 입력
“이런 방식의 서비스를 쓰게 되면 비밀번호를 입력하는 것에 대한 장벽(거부감)이 낮아져 피싱사이트에 당했을 때 더 위험하지 않을까”라거나 “비밀번호를 통해 내역을 긁어오는 방식이라면 코드를 조금만 바꾸거나 수정하면 다른 행동들(이체 및 다른 내역 조회 등)이 가능한 굉장히 위험한 방식”이라며 우려를 표하는 이용자들도 있다.
여기서 질문이 나온다. 타행 계좌 비밀번호를 입력하게 하는 것은 규정상 문제는 없을까, 그리고 안전할까? 금융회사는 비대면 실명확인 시 ‘비대면 실명확인 관련 구체적 적용방안’에 따른 5가지 방법 중 2개 이상을 중첩해 적용해야 한다. 첫 번째는 실명확인증표(신분증) 사본 제출이 있다. 고객이 신분증을 촬영 또는 스캔해 인터넷(모바일)으로 제출하면 금융회사가 신분증 발급기관에 진위여부를 확인한다. 두 번째는 영상통화로 금융회사 직원이 이용자와 영상통화를 하면서 육안 및 안면인식기술을 통해 신분증상 사진과 고객 얼굴을 대조한다. 세 번째는 현금카드나 OTP 발생기 등을 고객에게 우편 등으로 전달하면서 전달업체 직원이 신분증을 확인하는 방식이다.
네 번째는 타 금융회사에 실명확인을 거쳐 이미 개설한 계좌로부터 소액이체 등으로 고객의 동 계좌 거래권한을 확인하는 방식이다. 마지막으로 생체인증 등 앞선 네 방식에 준하는 방식을 쓸 수 있다. 토스가 활용하는 타행 계좌 비밀번호 입력은 이 중 네 번째 방법이나 그에 준하는 방법으로 보인다.
전문가들 사이에서는 의견이 갈린다. 우선 본인인증 수단으로 가능하다는 의견이 있다. 은행연합회 관계자는 “일반적으로 많이 쓰는 건 1원 송금인데 비밀번호 인증 방식도 쓸 수 있고 오히려 고객이 송금할 수도 있다”면서 “정형화된 건 아니고 은행 판단 하에 안전한 방식을 자율적으로 선택해 쓸 수 있다”고 설명했다. 이 관계자는 “비대면 실명확인 가이드라인의 취지는 의무사항을 나열한 것이 아니라 나열되지 않은 것도 은행 판단 하에 안전한 방식을 사용할 수 있도록 유연하게 운영할 수 있다는 것”이라면서 “일단 토스 쪽은 비밀번호 인증을 안전하다고 판단한 것 같다”고 말했다.
■마이데이터 시행되면 논란 해소될까
토스 측 설명에 따르면 비밀번호 인증은 1원 송금에 비해 이용자 입장에서 더 편하다. 1원 송금을 이용할 경우 송금된 타행 계좌에 들어가 인증번호를 확인하고 그 번호(또는 문자)를 입력해야 하는 번거로움이 추가된다. 비밀번호를 이용하면 입력한 비밀번호로 금융결제원에서 본인인증을 진행해 바로 다음 단계로 넘어갈 수 있다. 토스 관계자는 “해당 은행의 계좌 비밀번호를 입력하면 그 비밀번호를 갖고 조회해 (토스가) 1원 송금한 내역을 긁어와 인증하는 방식이다”면서 “토스만 하는 건 아니고 신한은행과 전북은행도 이 방식을 사용한다”고 말했다. 이 관계자는 “은행 앱에서 공동인증서의 비밀번호를 요구하는 것과 같은 논리인데 은행에 대한 믿음이 있어서 거부감이 없듯 토스뱅크도 브랜드를 단단히 만들면 이런 선입견을 벗을 수 있을 것”이라고 밝혔다.
하지만 비대면 본인확인 방식으로 부적절하거나 보안상 불안하다고 보는 전문가도 있다. 한 금융업계의 인증업무 전문가는 “비대면 실명확인 방법의 하나로 기존 계좌를 이용한 1원 이체가 있는데 기존 계좌의 비밀번호를 요구하는 건 없다”며 “(다른 은행 계좌를 한 번에 조회할 수 있는) 오픈뱅킹을 이용할 때도 타행 계좌의 비밀번호를 요구하진 않는다”고 말했다. 한 보안 관련 학계 전문가는 “사안을 더 자세히 검토할 필요가 있지만 보통 송금확인으로 본인 확인을 한다는 점에서 약간 상식적이진 않아 보인다”고 말했다. 그는 “토스가 직접 비밀번호를 가져가 타 은행에 전송하고 검증이 되는지 확인하는 방식이라면 보안상 위험성이 높아 비밀번호 암호화에 신경을 써야 한다”고 설명했다.
토스 측 설명에 따르면 사용자가 입력한 비밀번호는 토스 서버에 저장되지 않고, 사용자 휴대전화에 저장된다. 토스는 이 비밀번호를 이용해 이용자가 요구할 때 타 금융기관에 로그인한 후 계좌 정보를 조회한다. 이를 ‘스크래핑’이라고 부른다. 휴대전화를 바꾸면 토스 앱에 연동된 타 은행 계좌 정보가 끊기고 다시 비밀번호를 입력해야 한다. 중요한 건 토스 앱에 입력한 비밀번호는 암호화돼 토스도 알 수 없는 상태로 타 은행의 인증에 사용돼야 한다는 점이다. 이론상 인증정보를 확보한 핀테크 업체가 필요 이상의 정보에 접근할 가능성이 있기 때문이다.
생략
http://naver.me/IG6CL3c5
“고객이 고민할 필요 없는 가장 단순한 상품을 통해 고객이 찾지 않아도 최고의 혜택을 먼저 제시하며, 기술 혁신을 통해 더 넓은 범위의 고객을 포용하는 은행을 추구한다.” 토스뱅크가 선언한 ‘완전히 새로운 은행’에 금융소비자도 호응했다. 무려 170만명이 토스뱅크 통장 사전신청을 했다. 10월 18일부터 누구나 토스뱅크를 이용할 수 있게 됐다.
토스 이용자가 통장 개설을 위해 가장 먼저 밟는 절차는 본인확인이다. 비대면 실명확인 수단으로 토스는 타 은행 계좌의 비밀번호 입력을 통한 본인인증이나 1원 송금을 통한 본인인증을 제시하고 있다. 두 방법 중 비밀번호 입력을 먼저 제안한다. 하지만 이용자 일부는 이런 방식의 본인인증을 불안하게 받아들이고 있다. 한 이용자는 지난 10월 14일 페이스북 페이지 ‘생활코딩’에 올린 글에서 “비밀번호를 모른다고 하면 다른 은행처럼 1원 송금을 통한 본인인증으로 넘어가는데, 이럴 거면 왜 처음에 비밀번호를 요구하는 본인인증 방식을 취한” 것인지 의문을 제기했다. 그는 “개인의 보안을 침해하는 행동이라 느껴져 매우 불쾌했다”고 밝혔다.
■본인 확인 위한 타행 비밀번호 입력
“이런 방식의 서비스를 쓰게 되면 비밀번호를 입력하는 것에 대한 장벽(거부감)이 낮아져 피싱사이트에 당했을 때 더 위험하지 않을까”라거나 “비밀번호를 통해 내역을 긁어오는 방식이라면 코드를 조금만 바꾸거나 수정하면 다른 행동들(이체 및 다른 내역 조회 등)이 가능한 굉장히 위험한 방식”이라며 우려를 표하는 이용자들도 있다.
여기서 질문이 나온다. 타행 계좌 비밀번호를 입력하게 하는 것은 규정상 문제는 없을까, 그리고 안전할까? 금융회사는 비대면 실명확인 시 ‘비대면 실명확인 관련 구체적 적용방안’에 따른 5가지 방법 중 2개 이상을 중첩해 적용해야 한다. 첫 번째는 실명확인증표(신분증) 사본 제출이 있다. 고객이 신분증을 촬영 또는 스캔해 인터넷(모바일)으로 제출하면 금융회사가 신분증 발급기관에 진위여부를 확인한다. 두 번째는 영상통화로 금융회사 직원이 이용자와 영상통화를 하면서 육안 및 안면인식기술을 통해 신분증상 사진과 고객 얼굴을 대조한다. 세 번째는 현금카드나 OTP 발생기 등을 고객에게 우편 등으로 전달하면서 전달업체 직원이 신분증을 확인하는 방식이다.
네 번째는 타 금융회사에 실명확인을 거쳐 이미 개설한 계좌로부터 소액이체 등으로 고객의 동 계좌 거래권한을 확인하는 방식이다. 마지막으로 생체인증 등 앞선 네 방식에 준하는 방식을 쓸 수 있다. 토스가 활용하는 타행 계좌 비밀번호 입력은 이 중 네 번째 방법이나 그에 준하는 방법으로 보인다.
전문가들 사이에서는 의견이 갈린다. 우선 본인인증 수단으로 가능하다는 의견이 있다. 은행연합회 관계자는 “일반적으로 많이 쓰는 건 1원 송금인데 비밀번호 인증 방식도 쓸 수 있고 오히려 고객이 송금할 수도 있다”면서 “정형화된 건 아니고 은행 판단 하에 안전한 방식을 자율적으로 선택해 쓸 수 있다”고 설명했다. 이 관계자는 “비대면 실명확인 가이드라인의 취지는 의무사항을 나열한 것이 아니라 나열되지 않은 것도 은행 판단 하에 안전한 방식을 사용할 수 있도록 유연하게 운영할 수 있다는 것”이라면서 “일단 토스 쪽은 비밀번호 인증을 안전하다고 판단한 것 같다”고 말했다.
■마이데이터 시행되면 논란 해소될까
토스 측 설명에 따르면 비밀번호 인증은 1원 송금에 비해 이용자 입장에서 더 편하다. 1원 송금을 이용할 경우 송금된 타행 계좌에 들어가 인증번호를 확인하고 그 번호(또는 문자)를 입력해야 하는 번거로움이 추가된다. 비밀번호를 이용하면 입력한 비밀번호로 금융결제원에서 본인인증을 진행해 바로 다음 단계로 넘어갈 수 있다. 토스 관계자는 “해당 은행의 계좌 비밀번호를 입력하면 그 비밀번호를 갖고 조회해 (토스가) 1원 송금한 내역을 긁어와 인증하는 방식이다”면서 “토스만 하는 건 아니고 신한은행과 전북은행도 이 방식을 사용한다”고 말했다. 이 관계자는 “은행 앱에서 공동인증서의 비밀번호를 요구하는 것과 같은 논리인데 은행에 대한 믿음이 있어서 거부감이 없듯 토스뱅크도 브랜드를 단단히 만들면 이런 선입견을 벗을 수 있을 것”이라고 밝혔다.
하지만 비대면 본인확인 방식으로 부적절하거나 보안상 불안하다고 보는 전문가도 있다. 한 금융업계의 인증업무 전문가는 “비대면 실명확인 방법의 하나로 기존 계좌를 이용한 1원 이체가 있는데 기존 계좌의 비밀번호를 요구하는 건 없다”며 “(다른 은행 계좌를 한 번에 조회할 수 있는) 오픈뱅킹을 이용할 때도 타행 계좌의 비밀번호를 요구하진 않는다”고 말했다. 한 보안 관련 학계 전문가는 “사안을 더 자세히 검토할 필요가 있지만 보통 송금확인으로 본인 확인을 한다는 점에서 약간 상식적이진 않아 보인다”고 말했다. 그는 “토스가 직접 비밀번호를 가져가 타 은행에 전송하고 검증이 되는지 확인하는 방식이라면 보안상 위험성이 높아 비밀번호 암호화에 신경을 써야 한다”고 설명했다.
토스 측 설명에 따르면 사용자가 입력한 비밀번호는 토스 서버에 저장되지 않고, 사용자 휴대전화에 저장된다. 토스는 이 비밀번호를 이용해 이용자가 요구할 때 타 금융기관에 로그인한 후 계좌 정보를 조회한다. 이를 ‘스크래핑’이라고 부른다. 휴대전화를 바꾸면 토스 앱에 연동된 타 은행 계좌 정보가 끊기고 다시 비밀번호를 입력해야 한다. 중요한 건 토스 앱에 입력한 비밀번호는 암호화돼 토스도 알 수 없는 상태로 타 은행의 인증에 사용돼야 한다는 점이다. 이론상 인증정보를 확보한 핀테크 업체가 필요 이상의 정보에 접근할 가능성이 있기 때문이다.
생략
http://naver.me/IG6CL3c5
|
