[최명용의 씨크릿머니]보안에 신경 안 쓰는 카드사, 그래도 돈은 번다
은행이나 신용카드 거래에 꼭 필요한 숫자는 4자리의 비밀번호다. 금융 비밀번호는 왜 4자리로만 돼 있을까.
금융거래를 전산화하면서 나타난 현상이란 게 가장 설득력 있다. 컴퓨터는 2진법을 기초로 계산을 한다. 2비트가 연산의 기본 단위다. 0과 1의 조합을 활용해 2의 배수로 계산 단위를 늘린다. 2비트, 4비트, 8비트, 16비트 식이다.
4자리 숫자를 표시하려면 8비트면 된다. 5자리수로 넘어가면 계산 단위가 복잡해진다. 3이나 5와 같은 홀수 자릿수 대신 4개의 자릿수를 선택한 것은 전산 처리의 용이성 때문이다.
이용자의 편리성을 고려한 것도 한 이유다. 4자리 숫자는 사람이 한눈에 인식하는 단위 중 비교적 길다. 4자릿수 비밀번호의 조합은 0000부터 9999까지 1만개다.
금융 전산화 초기에는 이 정도 조합이면 안전성을 확보했다고 볼 수 있었다. 기술의 발달로 상황은 달라졌다. 이젠 1만개의 번호를 한번씩 검색하는데 십여분 정도면 족하다. 9개씩 한번에 1111번의 검산을 하면 18분이 걸린다고 한다.
2자릿수 비밀번호는 어떨까. 2자릿수는 모두 100개의 조합으로 1~2분이면 한번씩 확인할 수 있다. 손으로 대충 찍어서 맞힐 수 있다.
최첨단 금융 기법이 개발된 요즘 여전히 2자릿수 비밀번호를 고수(?)하는 곳이 있다. 신용카드 온라인 거래다.
신용카드를 이용한 홈쇼핑이나 인터넷 쇼핑 거래에선 비밀번호 앞자리 2개만 입력하면 된다. 물론 주민번호나 카드뒷면 CVC번호를 넣는다곤 하지만 비밀번호치곤 너무 허술하다.
카드사들이 왜 이같은 단순한 비밀번호를 쓸까. 고객 편의성이 첫 번째 이유다. 손쉽게 신용카드를 긁으라는 '배려'다.
초기엔 홈쇼핑업체들이 난립했을 당시 홈쇼핑업체에 비밀번호를 온전히 남기면 안된다는 판단도 있었다. 중소 홈쇼핑업체가 카드번호나 비밀번호를 외부로 유출하거나 악용할 수 있다는 우려에 비밀번호를 모두 입력하지 않도록 했다는 것이다.
금융 거래 비밀번호는 동전의 양면이다. 편의성을 높이면 그만큼 보안성이 취약해진다. 반대로 보안성을 높이면 편의성이 떨어진다.
독자들의 PICK!
요즘은 편의성보단 보안성이 더 중요한 시기다. 최근 급증하는 보이스피싱은 신용카드의 취약한 보안을 악용해 신용카드 신용 대출로 피해자들을 양산하고 있다.
카드사들의 대책은 어떨까? 여전히 편의성에 무게중심을 둔 듯 하다. 여전히 두자릿수 비밀번호는 활성화돼 있고 되레 카드사 서버가 해킹에 노출됐다는 소식까지 들려온다.
신용카드사나 은행 등 금융 회사들이 보안 사고에 책임을 져 대규모 보상을 했다는 얘기는 들어보지 못했다. 보이스 피싱으로 억울하게 나간 대출도 명의자에게 회수하려는 채권 추심에만 열을 올리고 있다.
주식 투자자들에겐 이런 회사가 좋은 회사일 수 있다. 이익 극대화로 주주들에게 배당을 두둑하게 챙겨주기 때문이다. 하지만 개개인 금융 소비자에게도 좋은 회사일지는 의문이다.