Financial Market2009.03.28 22:25

조금 전 웹서핑 중 눈에 확 들어오는 기사가 있었다. "금융권 - 특히 은행 - 의 고객 PC의 MAC Address 주소 수집"이 그것이다. MAC Address (Media Access Control Address - 매체 접근 제어 주소) 는 인터넷에 연결된 컴퓨터의 고유번호이다. PC에 사용하는 유무선 LAN 카드에 고유의 번호가 지정되어 있으며, 인터넷 등 통신망에 다수의 컴퓨터가 연결됐을 때, 수많은 데이터는 이 MAC 주소를 찾아 송수신된다. 데이터의 이동에 필요한 주소를 가지고 있기 때문에 내 PC를 통해 어느 사이트에서 어떠한 업무를 처리했는지가 어딘가에는 기록될 수 있다는거다.

중앙일보 인터넷판에 올라온 기사의 주요 내용은 다음과 같음.


금융회사들은 이 MAC Address 를 보관한 이유를 "온라인 금융사고가 터질 때 책임 소재를 입증할 자료로 쓰기 위함”이라고 해명한다. 그러나 고객 동의를 얻지 않은 것이기에 금융회사가 몰래 MAC Address 를 수집하는 것은 불법이다. → 인터넷뱅킹 관련 약관은 내가 유일하게 처음부터 끝까지 다 읽어본 약관. 어디에도 MAC Address 수집 동의는 없었다. 금융권은 대형 사고를 막기 위한 정보 수집이라 고객에게 알리지 않아도 불법이 아니라는 입장이다.


◆ 금융권의 MAC 주소 수집 = 익명을 원한 보안업계 전문가는 “은행을 비롯한 금융회사들이 인터넷뱅킹 고객의 컴퓨터 정보를 수시로 체크할 수 있는 첨단 정보 체킹 기술 ‘MAC 주소 빼내기’ 프로그램을 앞다퉈 돌리고 있다”고 27일 전했다. 우선 고객이 인터넷뱅킹을 이용하려고 해당 사이트에 들어갈 때 보안 프로그램을 깔라고 요구하는 데서 시작된다. 자동 설치 과정을 밟는 이 프로그램에는 보안 기능인 ‘액티브X’ 외에 MAC 주소를 알아내는 소프트웨어가 담겨 있다. 자신의 PC에 이 프로그램을 까는 순간 MAC 주소가 빠져나가는 것이다. 그러나 금융회사들은 고객에게 보안 프로그램 설치만 공지할 뿐, MAC 주소 수집 사실은 알리지 않는다.

◆ MAC 주소는 온라인 열쇠 = MAC 주소를 알면 해당 컴퓨터 이용자가 온라인상에서 무엇을 했는지 시간대별로 알 수 있다. 인터넷 행적 리스트에는 고객이 언제 어느 사이트에 들렀고, 그곳에서 무슨 거래를 했는지 샅샅이 드러난다. MAC 주소가 해커들에게 넘어가면 그 주인의 금융 정보나 계좌는 무방비 상태가 된다. 소프트웨어 개발회사 등을 통해 MAC 주소 리스트가 흘러나갈 경우 대규모 개인정보 유출 사고도 낼 수 있다. 금융권은 MAC 주소 보안을 철저히 지키고 있어 유출 피해가 없었고 앞으로도 그럴 것이라고 한다. 금감원도 ‘전자금융 사고의 입증 책임이 금융회사에 있어 사고 때 다른 고객을 보호하기 위해서도 MAC 주소 수집은 필요하다’는 입장이다.

◆ 불법이냐 아니냐 = 보안업계는 MAC 주소를 몰래 수집하는 건 불법이니 당장 금지하고, 그동안 수집한 자료도 없애야 한다는 주장이다. 동국대 국제정보대학원 홍기융(정보보호학) 교수는 “극히 일부 문제 고객의 잘못을 입증하려고 수백만 고객의 정보를 한눈에 보자는 건 부당하다”고 말했다. 특히 고객에게 알리지 않는 건 ‘전자금융거래법’에 위배된다는 것이다. 반면 금감원은 불법이 아니라는 입장이다. 김인석 IT서비스팀장은 “고객이 언제 어떤 거래를 했는지 알려면 MAC 정보가 필요하다”고 말했다. 또 “전자금융거래법에 ‘기록’을 보관하라는 조항을 적용하면 고객에게 알리지 않아도 불법이라고 볼 수 없다”고 덧붙였다.  

이원호·김준현 기자

--------------------------------------------------------------------

인터넷 금융거래를 위해 은행사이트에 접속을 하면 언제나 keycrypt 관련 프로그램, 보안프로그램을 설치하기 위한 ActiveX 설치를 요구한다. 그러나 그 ActiveX 설치에 동의하면 MAC Address 수집 프로그램도 같이 깔린다는것다. 인터넷뱅킹 등을 이용하는 고객을 잠재적인 범죄자 취급한다는 느낌이 살짝 든다.

공개적으로 약관에 MAC Address 수집한다는 내용을 삽입하던가, 아니면 앞으로 MAC Address 수집을 하지 말아야할 것이다. "무죄추정의 원칙"이라는 것이 있지만, 왠지 머나먼 얘기같이 느껴진다.
Posted by Chanwoo™