당신의 ‘사이버 행적’ 은행 손 안에

중앙일보

입력 2009.03.28 03:03

업데이트 2009.03.28 03:12

지면보기

종합 15면

은행 등 금융회사들이 인터넷뱅킹 가입자의 컴퓨터 핵심 정보인 PC 고유번호, 이른바 ‘MAC(맥)’ 주소를 몰래 수집하는 것으로 확인됐다. 이를 통해 금융권은 국내 인터넷뱅킹 고객 2500여만 명의 온라인상 행적을 들여다볼 수 있다. 금융권에선 “MAC 주소 수집은 온라인 금융사고가 터질 때 책임 소재를 입증할 자료로 쓰기 위함”이라고 해명한다.

그러나 보안업계에서는 금융회사가 고객 동의를 받지 않고 MAC 주소를 몰래 수집하는 건 불법이라고 지적한다. 이에 대해 금융권은 대형 사고를 막기 위한 정보 수집이라 고객에게 알리지 않아도 불법이 아니라는 입장이다.


◆금융권의 MAC 주소 수집=익명을 원한 보안업계 전문가는 “은행을 비롯한 금융회사들이 인터넷뱅킹 고객의 컴퓨터 정보를 수시로 체크할 수 있는 첨단 정보 체킹 기술 ‘MAC 주소 빼내기’ 프로그램을 앞다퉈 돌리고 있다”고 27일 전했다. 우선 고객이 인터넷뱅킹을 이용하려고 해당 사이트에 들어갈 때 보안 프로그램을 깔라고 요구하는 데서 시작된다. 자동 설치 과정을 밟는 이 프로그램에는 보안 기능인 ‘액티브X’ 외에 MAC 주소를 알아내는 소프트웨어가 담겨 있다. 자신의 PC에 이 프로그램을 까는 순간 MAC 주소가 빠져나가는 것이다. 그러나 금융회사들은 고객에게 보안 프로그램 설치만 공지할 뿐, MAC 주소 수집 사실은 알리지 않는다.

◆MAC 주소는 온라인 열쇠=MAC 주소를 알면 해당 컴퓨터 이용자가 온라인상에서 무엇을 했는지 시간대별로 알 수 있다. 인터넷 행적 리스트에는 고객이 언제 어느 사이트에 들렀고, 그곳에서 무슨 거래를 했는지 샅샅이 드러난다. MAC 주소가 해커들에게 넘어가면 그 주인의 금융 정보나 계좌는 무방비 상태가 된다. 소프트웨어 개발회사 등을 통해 MAC 주소 리스트가 흘러나갈 경우 대규모 개인정보 유출 사고도 낼 수 있다. 금융권은 MAC 주소 보안을 철저히 지키고 있어 유출 피해가 없었고 앞으로도 그럴 것이라고 한다. 금감원도 ‘전자금융 사고의 입증 책임이 금융회사에 있어 사고 때 다른 고객을 보호하기 위해서도 MAC 주소 수집은 필요하다’는 입장이다.

◆불법이냐 아니냐=보안업계는 MAC 주소를 몰래 수집하는 건 불법이니 당장 금지하고, 그동안 수집한 자료도 없애야 한다는 주장이다. 동국대 국제정보대학원 홍기융(정보보호학) 교수는 “극히 일부 문제 고객의 잘못을 입증하려고 수백만 고객의 정보를 한눈에 보자는 건 부당하다”고 말했다. 특히 고객에게 알리지 않는 건 ‘전자금융거래법’에 위배된다는 것이다. 반면 금감원은 불법이 아니라는 입장이다. 김인석 IT서비스팀장은 “고객이 언제 어떤 거래를 했는지 알려면 MAC 정보가 필요하다”고 말했다. 또 “전자금융거래법에 ‘기록’을 보관하라는 조항을 적용하면 고객에게 알리지 않아도 불법이라고 볼 수 없다”고 덧붙였다.  

이원호·김준현 기자

◆MAC(Media Access Control·매체 접근 제어) 주소=인터넷에 연결된 컴퓨터의 고유번호. 인터넷 등 통신망에 다수의 컴퓨터가 연결됐을 때, 수많은 데이터는 이 MAC 주소를 찾아 송수신된다.

ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT

Innovation Lab

ADVERTISEMENT