이 기사는 2021년 03월 09일 10:19 thebell 에 표출된 기사입니다.

하나은행 인증사업의 가장 큰 특징은 경영진들의 진두지휘 하에 어떤 은행보다 '속도감' 있게 추진되고 있다는 점이다. 특히 경영진의 강력한 디지털전환(DT) 의지에 따른 '톱다운(Top Down)' 방식으로 사업이 시작됐다는 점이 눈길을 끈다.

톱다운 방식의 사업 방향성은 지금도 이어지고 있다. 이는 관할 부서에서 고객들의 민원을 해결하는데 주안점을 두고 '바텀업(Bottom Up)' 방식으로 인증서 사업이 진행되고 있는 타 은행과 사뭇 다른 모습이다.

하나은행 내부적으로 사설인증서에 대한 필요성이 제기됐던 건 작년 초다. 20년 만에 전자서명법이 개정됐고 보안 인증시장의 대변혁 흐름에 따라 하나은행도 새로운 전략을 강구해야 한다는 움직임이 감지됐다.

무엇보다 새롭게 추진 중인 모바일뱅킹 앱인 'New 하나원큐'이 결정적인 트리거가 됐다. 개발과정에서 내부 디지털 인증 정책을 재정립하면서 경영진들도 인증사업을 새로운 비즈니스로 인식하기 시작한 것이다. 실제로 하나은행의 자체 인증서 개발은 New하나원큐 모바일앱 개발 추진 속도에 맞춰 진행됐다.

물론 KB국민은행이나 IBK기업은행, 신한은행 등이 2017~2018년부터 인증사업에 눈독을 들였던 것과 비교하면 시작점은 다소 느리다. 그러나 추진 속도는 그 어느 은행 보다도 빠르다.

하나은행은 작년 3월 사설인증서(Hana One Sign) 개발에 착수한 뒤 8월부터 하나은행의 모바일 앱 등에 적용해 이를 활용 중이다. 개발을 시작한 지 불과 6개월 만에 실전에 적용한 것이다. 개방형 인증 플랫폼으로 다양한 채널에서 로그인과 전자거래 등이 가능한 인증서다.

경영진이 직접 필요성을 의식하고 톱다운 방식으로 사업 시작을 주도한 게 속도감의 배경으로 거론된다.

하나은행 관계자는 "디지털 인증이란 모든 디지털 서비스의 시작점이나 다름없다"며 "모든 디지털서비스는 고객 유치와 밀접한 관련이 있는 만큼 CEO와 담당 임원들이 높은 관심을 쏟고 있는 상황"이라고 말했다

하나은행 경영진이 사설인증서(Hana One Sign)를 개발하면서 가장 주안점을 둔 점은 3가지다. 안전성(Safe)과 간편함(Simple), 신속함(Speed)를 모토로 '3S 디지털인증정책'을 수립했다. 안전하면서 편리한 디지털금융서비스를 지원하기 위한 표준 인증 정책이다.

지성규 행장을 비롯해 정의석 상무(정보보호본부장), 박성호 부행장(디지털리테일그룹장) 등 경영진이 함께 추진 속도를 끌어올렸다. 각 조직은 일부 업무를 분담한다. 우선 정 상무 관할인 정보보호섹션은 디지털인증 정책을 수립하고 개발부터 시스템 운영 관리 등을 담당한다. 또 박 부행장 산하에 있는 개인디지털사업섹션은 인증서를 통한 새로운 비즈니스를 창출하는 역할을 맡고 있다.

지 행장은 전략을 마련하는 과정에서 특히 '보안' 측면의 차별점 마련에 주력했다. 인증서 개발 업무 전반을 정 상무 소관의 '정보보호섹션'에 맡긴 이유다. 정 상무는 자체인증서 설계를 위해 공인인증서의 불편사항(Fail Point)을 분석해 5가지 개선 전략을 마련했다. 인증사업의 주요 방향성은 △보안성 강화 △자율보안체계 확립 △편의성 제고 △개방형 인증 △신기술 검토 등이다.

하나은행 정보보호섹션은 현재 사설인증(위즈베라), 모바일 보안영역(아톤), 얼굴인증(메사쿠어컴퍼니) 부분에서 여러 솔루션 업체와 제휴를 맺고 통합 인증서비스를 개발 중이다. 보안위협을 줄이기 위해 백신, 가상키패드, 앱위변조방지, 앱구조분석 방지 등을 기본 탑재했다. 또 이상거래를 감지하기 위한 '지능형(AI) FDS시스템'을 가동하고 있다. 전자금융불법이체, 대포통장, 보이스피싱 등을 24시간 감시해 부정사용을 차단하고 있다.

특히 사설인증서의 보안성을 강화하기 위해 '화이트박스'(Whitebox)라는 독특한 보안영역을 이용하고 있다. 화이트박스는 모바일과 소프트웨어 기반 보안영역이다. 해당 보안프로그램은 미국표준기술연구소(NIST)로부터 'FIPS-140-2' 인증을 획득하며 보안성을 입증받았다.

이는 KB국민은행의 KB모바일인증서의 보안 방식과 비교된다. KB모바일인증서의 경우 하드웨어 기반의 독립된 보안영역인 TEE(Trusted Execution Environment)에 인증서를 자동 저장하고 있다. 하나은행도 일부 검토한 방식이다. 다만 해당 보안 방식은 TEE 내에서만 접근이 가능해 모바일 환경에서는 단말 지원 방식이 제한적이라고 판단했다.

하나은행은 '화이트박스 암호화'라는 저장방식을 채택했다. 보안 솔루션 업체인 아톤과 제휴해 보안카드나 실물 OTP가 없어도 PIN번호나 QR코드로 인증할 수 체계를 구현 중이다. 이는 하나은행만의 보안코드(SecureCode)를 적용해 중요 로직(Logic)과 암호화를 구현하는 방식으로 탈취 자체가 불가능한 구조다. 지정된 모바일에서만 사용가능하도록 설계돼 있다.

하나은행 관계자는 "모바일 환경의 변화에 맞춰 인증 보안체계를 발전시켜나갈 것"이라며 "현재 하나원큐 모바일앱은 ISMS-P, ISO27001 등 공인된 인증기관으로부터 보안적정성 평가를 받은 상황"이라고 말했다.