영국 인터넷 뱅킹
한국의 인터넷 뱅킹이 개떡 같은 것은 더 말할 필요도 없다. 영국에서는 별도 보안 프로그램 설치 없이 인터넷 브라우저만으로 쾌적하게 은행 업무를 볼 수 있다. 아마 한국을 제외한 다른 나라도 마찬가지일 것 같다. 영국 은행에서 보안 프로그램 없이 어떻게 안전한 뱅킹 서비스를 제공하는지 살펴보자. 영국의 모든 은행에 계좌를 만들어 인터넷 뱅킹을 해본 것은 아니고, 내 주 거래 은행의 인터넷 뱅킹 경험을 바탕으로 설명하는 것임에 유의하기 바란다.
로그인
로그인을 할 때 보안키로 로그인할 것인지 보안키 없이 로그인할 것인지 선택할 수 있다. 모든 은행 업무를 제대로 하려면 보안키로 로그인 해야 한다. 보안키 없이 로그인해도 계좌 조회, 예전에 송금한 적이 있는 계좌로 다시 송금하는 것이 가능하다. 예전에 송금한 적이 없는 계좌로 송금하려면 보안키로 로그인해야 한다.
이렇게 로그인 방식을 구분해 놓은 이유는 명확하다. 아무래도 보안키로 로그인하는 것은 귀찮기 때문이다. 보안키로 로그인하려면 스마트폰에 설치한 은행 앱을 이용해 보안키를 생성해야 한다. 보안키를 생성하려면 스마트폰에서도 패스워드를 입력해야 한다. 이렇게 생성한 보안키를 로그인 창에 입력해야 한다.
보안키 없이 로그인하는 경우에는 로그인 창에 패스워드의 일부를 입력한다. 보통 패스워드 중 임의의 세 자리를 입력해야 한다. 예를 들어 패스워드의 첫째, 여섯째, 뒤에서 둘째 자리를 입력하라는 식이다. 패스워드 전체를 입력하는 일이 거의 없으므로 패스워드가 유출될 위험은 별로 없다고 할 수 있겠다.
조회
브라우저와 은행 간의 통신은 HTTPS를 사용하며 별도 보안 소프트웨어를 설치하지 않아도 된다. 은행 계좌 조회 페이지는 텍스트 위주로 단순하게 구성되어 있으며 계좌별 잔액이나 거래 내역을 쉽게 확인할 수 있다. 한국의 일부 은행이 거래 내역 표를 표시하는 데도 액티브X를 사용하는 것을 봤다. HTML 표로 충분히 보기 좋게 만들 수 있는데, 그렇게 불편하게 만드는 이유를 알 수 없다.
송금
송금의 종류는 다음 두 가지 경우로 나뉜다.
- 예전에 송금한 적이 있는 계좌로 다시 송금하는 경우
- 예전에 송금한 적이 없는 계좌로 처음 송금하는 경우
상식적으로 생각했을 때, 예전에 송금한 적이 있는 계좌로 다시 송금하는 것은 사기 거래 또는 실수일 확률이 거의 없다고 볼 수 있다. 따라서 안전한 거래로 볼 수 있으며 비교적 간단한 절차로 거래를 수행할 수 있다. 로그인할 때 보안키를 사용하지 않아도 되고, 송금할 때 이체 보안키를 요구하지도 않는다. 가족에게 생활비를 보내거나 집주인에게 월세를 입금하는 것과 같이 정기적으로 송금하는 경우에 편하게 사용할 수 있다.
예전에 송금한 적이 없는 새로운 계좌로 송금하려면 반드시 보안키로 로그인해야 한다. 송금할 때 다시 스마트폰 은행 앱에서 이체 보안 코드를 생성해야 하는데, 절차는 로그인 보안 코드를 생성하는 것과 비슷하지만 보안 코드 생성 시 엉뚱한 계좌로 송금하는 실수를 방지하기 위해 송금할 계좌 번호 일부를 입력해야 한다. 처음 송금하는 경우에는 은행 서버에서 사기 거래 여부 검증을 수행한다. 아마 수취계좌가 정상 계좌인지 확인하는 작업이 포함되어 있을 것이다. 은행에서 사기가 아니라고 판단한 경우에만 정상 처리된다.
OTP
위에서 말한 보안키라는 것은 OTP와 비슷하다. 보안키 생성기는 스마트폰에 설치된 은행 앱에 포함되어 있다. 한국에서는 OTP 생성기를 개인이 비용을 들여 구매해야 한다. 별도 기기로 제공되는 OTP 생성기는 또 다른 걱정거리가 아닐 수 없다. 갑자기 고장나거나 배터리가 다 되면 은행 거래를 할 수 없게 되기 때문이다. OTP 문제 하나 해결하자고 한국으로 날아가기도 쉽지 않다.
한국의 은행들이 별도 OTP 기기를 사용하는 이유는 고객의 스마트폰을 믿을 수 없다고 가정하기 때문일까? 그렇다면 스마트폰에 공인인증서 저장을 허용하는 것은 무엇인가? 뭔가 앞뒤가 맞지 않는다.
은행 앱에 OTP 생성기를 넣어도 괜찮을 것 같다. 스마트폰을 사용하지 않는 고객에게만 별도 OTP 생성기를 제공할 수 있을 것이다.
결론
한국의 인터넷 뱅킹은 사용자 PC가 믿을 수 없는 상태라 가정하고 시작하는 것 같다. 그래서 온갖 보안 프로그램을 설치하는 것이다. 그러나 사용자 PC가 이미 믿을 수 없는 상태라면 그런 보안 프로그램을 설치한다고 믿을 수 있는 상태가 되겠는가? 내 생각에 한국의 인터넷 뱅킹은 기본 가정부터 틀려먹었다.
영국의 온라인 뱅킹은 짜증을 유발하지 않아 좋다. 은행 홈페이지 디자인은 좀 촌스럽지만 은행 업무를 보는 데 전혀 지장이 없다. 텍스트 위주 페이지가 오히려 가볍고 빠르다. 송금할 때 채 5분도 걸리지 않는다.
한국 은행이 좋은 점도 있다. 영국 은행은 송금을 해도 수취 계좌에서 바로 이체된 금액을 확인할 수 없다. 카드 청구 대금을 송금하면 카드에 반영되는 데 하루가 걸린다. 모든 것이 빨리빨리 처리되는 한국에서는 이런 작업이 실시간 처리되는데 말이다. 그러나 전반적 사용자 경험은 영국 은행이 훨씬 낫다.