[box type=”note”] 인터넷 뱅킹 상담원과 전화하다 보면 공인인증서에 기반한 한국 인터넷 뱅킹의 비정상적인 모습을 확인하게 됩니다. 아래 대화는 직접 체험한 것으로 대화의 핵심 내용을 요약한 것입니다. (편집자)
[/box]
컴퓨터를 여러 대, 예를 들어 데스크톱과 노트북을 갖고 있는 경우 공인인증서를 한쪽만 갱신해서 사용하는 경우가 있다. 공인인증서 관련 업무를 하나의 컴퓨터에서만 주로 이용하기도 하고 깜빡하고 여러 대의 컴퓨터에 깔린 공인인증서를 모두 갱신하는 걸 잊어버리기도 한다.
내 경우도 오랫동안 데스크톱에서만 은행 업무를 보다가 오랜만에 노트북으로 접속했더니 공인인증서 기간이 만료되었다고 해서 K은행 홈페이지에 갔다. 재발급을 받기 위해 각종 정보를 넣다가 실수가 반복되어 비밀번호를 3회 틀리고 말았다. 그 이후에 실수를 깨닫고 다시 제대로 입력했으나 “사용자암호3회오류” 이용자는 이 오류를 해제 후 이용하라는 메시지가 나올 뿐이었다. 물론 어디에 가야 이 오류를 정정할 수 있는지 안내는 없었다.
화면에 보이는 상담 전화번호로 했다. ARS 문구를 듣고 공인인증서 관련 업무를 선택하고 상담원 연결을 시도했다. 상담원은 기업고객의 공인인증서 업무는 자기 업무가 아니란다. 다른 쪽으로 전화를 돌려준다길래 다음엔 몇 번을 눌러야 연결되느냐고 물어봤다. 1588-xxxx로 전화를 한 다음 031을 누르란다. 홈페이지에 어디에도 그런 설명은 없다.
상담원과 연결이 됐다.
[box type=”note”]
나: 저 기업고객 가입자인데요, 공인인증서를 재발급받으려다가 비밀번호를 세 번 틀려서 그걸 해제하려고 합니다.
상담원: 혹시 비밀번호를 알고 계시나요?
나: 예.
상담원: 비밀번호를 알고 계신다면 웹사이트에서 비밀번호3회오류 해제가 가능합니다. 기업뱅킹 홈페이지 가셔서 [뱅킹관리]에 가서 [ID/사용자암호] 선택 후 [사용자암호 3회 오류 해제]를 다시 선택해 주세요.
거기서 ID, 비밀번호, 사업자등록번호를 넣으시면 해제가 가능합니다.
[/box]
그래서 시키는 대로 입력을 하니 OTP 비밀번호를 입력하란다. 그래서 그것도 입력했다. 그랬더니 공인인증서로 인증하라는 창이 뜬다. 지금 공인인증서를 재발급받으려다가 비밀번호 입력 실수를 해서, 그걸 복구하려고 하는 건데 공인인증서가 필요하다고?
뫼비우스의 서비스인가? 상담원에게 다시 물어봤다.
[box type=”note”]
나: OTP 비밀번호를 입력하니 공인인증서를 요구하는데요? 제가 지금 공인인증서를 발급받다가 실수를 해서 이걸 하는 거거든요.
상담원: 고객님, 비밀번호3회오류 해제 시에는 비밀번호만 알면 공인인증서 필요없이 해제가 가능합니다.
나: 지금 해보니 요구를 하는데요?
상담원: 잠시만 기다리세요.
[/box]
한참을 기다리니 다시 연결됐다. 내가 기업뱅킹 쪽에서 시도한 게 맞느냐며 본인 확인을 위해 각종 정보를 요구했다. 이미 상담 시작할 때 ARS를 통해 입력한 주민등록번호 외에도 추가로 법인명, 사업자등록번호, 그리고 법인통장번호를 불러달라고 한 후 통장비밀번호도 ARS를 통해 눌러달라고 한다.
정보를 확인한 후 자신이 안내한 게 맞다며 나보고 다시 시도해 보라고 한다. 나는 다시 시도를 했다. 하지만 역시 공인인증서를 요청하는 창이 떴다. 그래서, 내가 캡처라도 해서 보여줄까 하며 물어보니 다시 확인을 해보겠다며 통화대기음을 띄운다.
한참 있다가 다시 통화가 됐다. 공인인증서가 없으면 안 된단다. 공인인증서가 없이는 비밀번호3회오류 해제할 수 없다는 거다. 솔직히 화가 슬슬 났다.
[box type=”note”]
나: 아까는 된다면서요.
상담원: 죄송합니다. 제가 안내를 잘못 해드렸습니다.
나: 은행이 몇 시까지 하죠?
상담원: 오후 4시까지입니다.
나: 그럼 오늘은 안 되겠네요?
상담원: 예. 내일 9시부터 지점으로 나오셔서 해제하시면 됩니다. 지점에서 해제 신청을 하려면 다음의 서류가 필요합니다.
[/box]
그러면서 알려주는 서류가 다음과 같다.
- 신청서류 (지점에 비치)
- 법인인감도장
- 법인인감증명서
- 법인등기부등본
- 사업자등록증 사본
- 주민등록증 (대표 본인일 때)
듣다가 하도 어이가 없어서 한참을 재차 물었다. 이 서류들이 다 필요한 게 맞느냐고. 상담원은 맞는단다. 어이가 없어서 물어보기 시작했다.
[box type=”note”]
나: 비밀번호 3번 잘못 입력한 걸 복구하기 위해 저 서류들을 모두 구비해야 한다고요?
상담원: 맞습니다, 고객님.
나: 저건 법인 설립하거나 법인 정보 수정할 때 필요한 서류 수준 아닌가요? (필자주: 법인을 설립하기 위해 법인인감도장이 필요한 건 말도 안 되는 소리지만, 이미 이성을 잃어서 이상한 이야기를 시작)
상담원: 번거롭게 해드려 죄송합니다. 혹시 은행 지점에 전담 상담원이 있나요?
나: 없습니다. (필자주: 전담 상담원이 있으면 저 서류들이 없어도 특혜로 저런 걸 해준다는 뜻인지 확인했어야 했으나 당시엔 이성이 없어 물어보지도 못함)
상담원: 그렇다면 저 서류들이 다 필요합니다.
[/box]
오기가 생겼다. 그래서, 물어봤다.
[box type=”note”]
나: 비밀번호를 3번 잘못 입력하면 저런 서류들이 필요하다는 말이 어디에 있나요?
상담원: 저에게는 뜨는데 (상담원용 화면이 따로 있는 모양) 아마 고객님에게는 안 보이실 겁니다.
나: 그럼 홈페이지에는 어떻게 해야 한다는 설명도 안 되어 있는데 왜 저렇게 해야 하는 건가요?
상담원: 잠시만 기다려주세요.
[/box]
상담원은 분노를 누르며 말투가 어그러진 걸 느꼈는지 근거를 찾아주고 싶었나 보다. 또다시 한참 통화대기음으로 돌렸다가 다시 연결됐다.
[box type=”note”]
상담원: 고객님, 기업 뱅킹 첫 페이지에 가셔서 “기업뱅킹 및 서비스 가입안내”을 선택하면 거기 필요한 정보가 나옵니다.
나: 그런데, 저 항목은 인터넷뱅킹을 신규로 가입할 때 필요한 내용 아닌가요? 저는 신규로 가입하려는 게 아니라 비밀번호3회오류를 해제하려고 하는 건데요.
상담원: 그게 같은 내용입니다.
나: 그게 같은 내용이라는 건 어디에 표시가 되어 있나요?
상담원: … 죄송합니다만, 저 서류들이 모두 필요합니다.
[/box]
맞다. 나는 이 어이없는 상황에 너무 당황스러웠고, 화도 나서 상담원에게 짜증이 나는 말투를 썼다는 건 전화를 끊고 한참이 지나서야 알게 됐다. 사실 곰곰이 생각해 보면 이치에 맞는 절차인 것 같기도 하다.
- 사업자등록증에는 대표의 신분을 확인할 주민등록번호가 없다. 법인등기부등본이 필요.
- 법인등기부등본의 대표자 주민등록번호와 내 주민등록번호가 일치한다는 보장이 없다. 그러니 신분증 필요.
- 법인의 자격으로 신청서를 작성해서 문서의 효력을 인정하려면 법인인감이 필요.
즉, 서류와 도장들이 필요할 수 있다.
하지만, 곰곰이 생각해 보면, 뭔가 기묘하지 않은가?
온라인 서비스답지 않은 온라인 서비스
우선 상담원과의 통화를 생각해 보자. 상담원은 내가 본인인지 확인하기 위해 내 주민등록번호부터 법인명, 사업자등록번호, 통장번호, 심지어 통장 비밀번호까지 다 물어보고 내가 계좌주인 것을 확인한 다음에야 내게 안내를 해주기 시작했다. 게다가 내 계정의 상태가 잠금상태인 것까지 실시간으로 알려줬다. 그렇다면 나는 이 시점에서 이 계좌의 주인임이 밝혀진 게 아닌가.
즉, 은행의 상담원은 유선상으로 별의별 정보를 다 요구하고 확인한 후 내가 계좌 주인임을 확인한 상태로 상담에 응했다. 하지만 은행 시스템은 내가 온라인 상으로 내 정보를 변경할 수는 없단다. 나는 슈뢰딩거의 계좌주인가?
그리고 공인인증서 발급을 위한 비밀번호 입력에 실패하여 비밀번호 오류를 정정하려고 하는데 공인인증서를 요구하는 은행의 시스템은 또 뭘까. 뫼비우스의 서비스인가? 수많은 법인 고객을 가진 홈페이지에 이런 오류가 있는 걸 홈페이지 기획자도 모르고 상담원도 몰랐다. (내 경우도 상담원은 규정을 한참 동안 찾아보고서야 알았다)
모든 게 ‘보안을 위해 불편을 감수해야 한다’는 말로 해결되는 걸까?
한번 생각해 보자.
은행 직원은 전화거는 사람이 고객 본인인지 확인을 위한답시고 전화로 주민등록번호나 통장 비밀번호쯤이야 대수롭지 않게 요구하고 물어본다. 중요한 정보지만 상담의 편의성을 위해 보안성을 희생한다. 그러면서 피싱 전화가 오면 절대 자신의 정보를 알려주지 말라고 여기저기 홍보한다.
은행과 금결원은 고객 안드로이드폰에 구글 플레이 스토어를 통하지 않고 직접 자사의 앱을 설치하기 위해 “알 수 없는 소스 허용” 옵션을 켜라고 강요했다. 계좌에 접근할 수 있고 공인인증서가 들어있는 고객의 안드로이드폰의 보안성을 희생했다. 그러면서 피싱 문자가 오면 낚이지 말라고 여기저기 홍보한다.
사용자의 컴퓨터에 인터넷을 통해 각종 보안 프로그램을 몇 개씩 설치해야만 은행 온라인 서비스를 이용할 수 있게 강제한다. IT 지식이 있든 없든 이용자의 디바이스에 공인인증서의 보관을 맡긴다. 이용자는 자신의 공인인증서가 몰래 복제됐는지 안 됐는지 알 수가 없다. 그러면서 이용자는 공인인증서 보관을 잘해야 하고 공인인증서 방식은 훌륭하다고 홍보한다.
나는 ‘보안을 위해 불편을 감수해야 한다’는 말을 우리나라의 인터넷 뱅킹 관련 종사자들이 어떤 의미로 쓰는지 궁금하다. 내가 보기엔 그냥 서비스에 일관성이 없고 서비스가 후진 거다.
나는 언제쯤 우리나라의 인터넷 뱅킹과 관련된 희한한 일들에 대해 익숙해질까.
공인인증서라는 것이 ‘사용하는 이의 보안’을 위한 것처럼 포장되어 있지만, 은행이나 이를 적용한 업체/기관이 책임을 회피하기 위한 수단인 측면이 강합니다.
‘부인방지’라는 것이 무엇일까요? 사용하는 이가 해당 처리를 했다는 것을 부인하지 못하게 하겠다는 의도라면 정작 이 서비스는 은행과 공인인증서를 쓰는 기관을 위한 용도가 아닐까요? 그것을 위해 우리는 정작 보안적으로 취약한 ActiveX라는 개구멍을 PC에 여러개 뚫어 놓아야 한다고 강제하면서 보안을 이야기하는 것은 한심한 일이겠지요.
대안이 없다면 모르겠지만, 대안책에 대한 수용없이 공인인증서를 법률로 정하고 강제하는 것이 가장 큰 문제겠죠. 관료성과 공인인증서 장사꾼들과의 협연이 어떤 것인지 단적으로 보여주는 사례같습니다.
이제 이런 관행에 대해 오랜 논쟁 끝에 대안 방안을 수용할 것 같은 움직임이 있어 그나마 다행으로 생각합니다.
ㅎㅎ 상담원이 많이 서툴렀네여. 저도 3회오류 겪어서 상담전화해봤는데 가까운 은행 가라고 바로 말해주더라고여. 아직도 그 은행 인터넷뱅킹은 안 쓰는 중 ….;;
은행이 문제가 아니라 탁상공론하는 금융감독원이 문제지요