'뒤로가기' 한 번에 친권 확인 무력화 … '미성년 체크카드 시대' 앞두고 드러난 은행 보안 빈틈

지난해 미성년자 계좌 개설 과정에서 법정대리인 확인을 누락해 과태료 처분을 받은 iM뱅크의 전산 시스템이, '뒤로가기' 버튼 한 번으로 친권 확인 절차를 통째로 건너뛸 수 있었던 구조였다는 사실이 최근 공개된 금융위원회 회의록을 통해 드러났다.

당시 금융당국이 문제 삼았던 '시스템 설계 미흡'의 실체가 이용자 행동 하나로 핵심 안전장치가 무력화되는 수준의 허술함이었고, 금융위는 이를 단순 오류가 아닌 전자금융 안전성 확보 의무 위반으로 판단했다.

6일 금융권에 따르면 금융위원회는 지난해 11월 iM뱅크에 대한 수시검사 결과 조치안을 의결했다. 검사 과정에서 확인된 핵심 문제는 미성년자 명의 계좌를 비대면으로 개설하는 절차 자체가 법정대리권 확인이라는 필수 통제를 구조적으로 담보하지 못하도록 설계돼 있었다는 점이다.

최근 공개된 금융위 회의록에 따르면 iM뱅크는 미성년자 명의 계좌를 비대면으로 개설할 때, 대법원의 '전자가족관계등록시스템'에서 발급되는 부모의 가족관계증명서와 미성년자의 기본증명서를 스크래핑 방식으로 불러와 친권 존재 여부를 확인하도록 시스템을 설계했다.

문제는 이 스크래핑 절차가 진행 중인 상태에서 이용자가 '뒤로가기' 버튼을 누르거나 화면을 이탈한 뒤 다시 앱에 접속할 경우, 서류 제출과 친권 확인이 끝나지 않았음에도 다음 단계의 계좌 개설 절차가 아무런 차단 없이 자동으로 진행되도록 프로그램이 구현돼 있었다는 점이다. 해킹 기술 동원이나 비공식 루트가 아니라, 가장 정공법적인 인증 절차가 허술하게 열려 있었던 셈이다.

이에 대해 금융위는 전자금융거래의 안전성과 신뢰성을 확보하기 위해 충분한 테스트를 실시해야 함에도 무결성 검증을 소홀히 했다고 지적했다. 단순한 서류 확인 누락이 아닌 시스템 설계와 테스트 단계에서의 관리·통제 미흡이 이번 위반의 핵심이라는 판단이다.

이번 조치에서 특히 눈에 띄는 대목은 금융위가 해당 사안을 금융실명법·특정금융정보법상 실명확인 및 고객확인(KYC) 의무 위반과 전자금융거래법상 안전성 확보의무 위반으로 동시에 판단했다는 점이다. 개별 직원 또는 현장 운영상의 단순한 실수로 보지 않고, 전자금융 시스템 전반의 설계와 통제 수준을 함께 문제 삼은 것으로 해석된다.

이 사안이 금융권에서 주목받는 배경에는 제도 변화의 타이밍이 있다. 금융당국은 올해부터 12세 미만 미성년자도 본인 명의의 체크카드를 발급받을 수 있도록 하는 방향으로 제도를 손질하고 있다.

미성년자 금융 접근성이 확대되는 만큼 계좌 개설과 대리권 확인을 둘러싼 비대면 통제 절차의 중요성도 한층 커질 수밖에 없다는 지적이다.

이번 조치는 특정 은행의 개별 사례를 넘어, 비대면 금융이 일상화된 환경에서 전산 통제의 기준이 달라지고 있음을 보여주는 사례로 해석된다.

외부 해킹 대응뿐 아니라, 비정형적인 사용자 행동에도 필수 확인 절차가 유지되는 구조인지 여부가 보안 역량의 중요한 판단 기준으로 작용하고 있다는 평가다.

금융권 관계자는 “이번 사안은 직원 개인의 실수나 일회성 오류라기보다, 프로그램 통제와 예외 처리 설계 자체의 문제로 봐야 한다”며 “당국은 실제 사고 발생 여부보다 사고가 발생할 수 있는 구조였는지를 더 중요하게 본 것으로 보인다”고 말했다.