보안·편의성 두 마리 토끼 잡은 카카오뱅크…비결은 협업

입력 2017.08.22 11:26

7월 27일 출범한 인터넷 전문 은행 '카카오뱅크'가 편리한 사용법과 시중은행보다 낮은 대출금리 등으로 금융 시장에서 인기몰이 중이다. 이러한 돌풍의 비결 중 하나는 기존 시중은행과는 다른 간편하면서도 안전한 카카오뱅크만의 보안 시스템이다. 시스템 설계 단계에서부터 외부 전문가와의 협업을 통해 보안과 편의성 두 마리 토끼를 잡았다는 평가다.

카카오뱅크 앱 모습. / 카카오뱅크 제공
◆ 보안은 불편해야 안전하다? NO, 불편하면 더 위험하다

22일 보안 업계에 따르면, 카카오뱅크 돌풍의 배경에는 기존 금융권이 보안을 내세워 강요한 불편함을 걷어냈다는 점이 크게 작용했다. 카카오뱅크는 내부 시스템 설계 과정에서부터 다수의 외부 보안 전문가의 자문과 각 영역별 보안 전문 업체의 컨설팅을 의뢰해 시스템에 보안을 내재화하는 작업을 진행했다.

카카오뱅크의 인증 시스템 컨설팅에 참여한 보안 스타트업인 플라이하이의 김기영 대표는 "보안은 불편하면 스스로 깨진다"며 "사용자는 불편하다고 느끼면 스스로 우회하려고 하는데, 지금까지 금융권은 불편해야 보안이 강하다고 고집해왔기 때문에 카카오뱅크의 편리함에 놀라움을 금치 못하는 것일 뿐이다"라고 지적했다.

일례로 은행이 복잡하고 긴 비밀번호를 수시로 바꾸도록 강요하면 사용자는 비밀번호를 기억하지 못해 수시로 불편함을 겪게 된다. 사용자는 결국 비밀번호를 어딘가에 메모해 두게 되고, 이는 더 큰 보안 위협으로 연결될 수 있다는 게 그의 설명이다.

카카오뱅크가 보안을 내재화한 대표적인 예가 인증 시스템이다. 카카오뱅크도 대출을 이용할 때는 관계기관에서 고객 정보를 가져와야 하므로 공인인증서가 필요하지만, 다른 일상적인 금융 업무에서는 과감하게 공인인증서를 뺐다. 이미 로그인 과정에서 전자서명 인증을 수행했으므로 이후 송금을 한다고 해서 재차 인증을 요구할 필요가 없다고 판단해서다.

로그인 이후에도 매 업무마다 보안카드 번호, 공인인증서 비밀번호 입력과 같은 추가 인증을 요구하는 시중은행과 카카오뱅크가 다른 점이다.

공인인증서 자체는 보안이 뛰어나다는 평가를 받지만, 이는 어디까지나 관리를 잘 했을 때 얘기다. 카카오뱅크는 대신 공개키 기반구조(PKI) 사설인증서를 스마트폰 내 하드웨어 방식 보안 영역에 저장하고 꼭 필요할 때만 꺼내 쓰도록 했다. 카카오뱅크 사용자는 스스로 인증서를 관리하지 않아도 되기 때문에 결과적으로 편리하다고 느끼게 된다.

◆ 보편적 기술을 비즈니스에 잘 엮어내는 것이 핵심

김 대표는 "카카오뱅크 인증 시스템을 디자인하면서 어떤 솔루션을 도입했는지에 대한 질문을 많이 받는데, 보안 위협은 일대일로 해결되는 문제가 아니다"라며 "하나의 방법으로 여러 위협을 막을 수도 있고, 반대로 여러 방법을 동원해야 하나의 위협을 막기도 하는데 단순히 어떤 위협에는 어떤 솔루션으로 대응해야 한다는 관점에서 보안을 바라보기 때문에 중복 투자가 발생하게 된다"고 말했다.

카카오뱅크가 특정 솔루션에 천착하지 않고 보안을 내재화해 기대되는 효과는 사용 편의성 외에도 실시간으로 고객 반응을 수집하고 신속하게 서비스에 반영할 수 있다는 점이다. 24시간 365일 가동되는 인터넷 전문 은행 특성상 사용자 반응은 즉각적이고, 100% 완벽한 보안이란 없다는 점에서 지속적인 모니터링과 대응은 필수다.

실제 카카오뱅크 앱은 1.0.0 버전 출시 3주 만에 1.0.0 버전에서 시작해 1.0.3으로 세 번 업데이트됐다. 매주 한 번씩 업데이트한 셈이다. 카카오뱅크가 외부 솔루션에 의존했다면 매번 수정 사항을 반영하기 위해 담당 직원을 호출해야 했을 것이다. 이 역시 시스템 기획에서 개발, 운영까지 자체적으로 소화했기에 가능한 일이다.

카카오뱅크가 비대면 거래가 중심인 탓에 기술적으로 해결하기 어려운 문제도 있었다. 일회용 비밀번호(OTP)의 경우에도 초기에는 도입하지 않기로 했다가 최종적으로는 고객이 선택해 사용할 수 있도록 한 것이 대표적인 예다. OTP가 새로운 기술은 아니지만, 기존 사용자 경험과 보안 측면을 두루 고려했을 때 쓰는 것이 맞다고 판단했기 때문이다.

김 대표는 "건축물에 들어가는 재료는 생각보다 단순하지만 결과물은 다양하게 나오듯 보안 역시 보편적인 기술을 어떻게 비즈니스와 엮어내는지에 따라 보기에는 느슨해 보이지만 실제로는 튼튼한 보안을 구현할 수 있다"며 "결국 카카오뱅크가 보안과 편의성 두 마리 토끼를 모두 잡을 수 있었던 배경에는 협업을 중시하는 철학과 자유로운 토론 문화가 있다고 생각한다"고 말했다.