자신들의 보안권을 지키는 은행들은 소비자 신뢰에 대한 관점을 놓치고 있다.
은행들은 보안을 중요시하지만 소비자 신뢰를 간과하고 있다.
시장 동향에 따르면 사이버 보안 공격은 양과 복잡성이 증가하고 있다는 사실은 기업이 자산을 보호하기 위한 방법을 찾을 것이라는 것이 놀라운 것은 아닙니다. 특히 은행은 잃을 것이 더 많기 때문에 더 큰 보호막을 원합니다.
그러나 강화된 방어는 필연적으로 합법적인 사용자가 서비스에 접근하기 위해 더 깊이 파고들어야 한다는 것을 의미합니다. 결과적으로 보안과 사용성 사이의 적절한 균형을 찾는 논쟁이 계속되고 있습니다.
또한: 모든 온라인 사용자가 알아야할 악성 링크 클릭을 피하는 4가지 방법
그리고 싱가포르의 한 은행이 이 균형을 고려해야 할 것 같습니다. 해당 은행은 고객들을 당혹스럽게 만든 보안 기능을 도입했습니다.
OCBC는 지난 주에 고객의 장치에서 Google Play Store와 Huawei AppGallery 같은 비공식 앱 스토어에서 다운로드되지 않은 모바일 앱을 감지하면 디지털 뱅킹 서비스에 대한 액세스를 차단하는 기능을 출시했습니다.
은행은 악성 소프트웨어로부터 고객을 보호하기 위해 이 “개선”을 통해 은행 앱이 고객의 장치에서 잘못된 앱을 식별할 수 있게 되었다고 말했습니다. 이 보안 기능은 또한 은행이 잠재적인 위험을 가지거나 악성 소프트웨어가 사용하는 일반적으로 사용되는 앱의 권한 설정을 확인합니다.
또한: 이 은행의 새로운 앱 보안 기능은 고객들을 짜증나게 합니다
두 가지 기준을 모두 충족하지 않는 앱이 감지되면 고객은 OCBC의 모바일 앱이나 온라인 뱅킹 사이트를 통해 계정에 로그인할 수 없게 됩니다. 이에도 불구하고 은행의 새로운 보안 기능에 의해 규정된 앱이 사실 공식 앱 스토어에서 다운로드된 것임에도 불구하고 일부 고객들이 잠긴 상태로 남게 되었습니다. 이러한 앱에는 Microsoft Authenticator, LG ThinQ, CCleaner, Trend Micro 등이 포함되어 있었습니다. 고객 자체의 안티바이러스 모바일 앱에서 승인된 앱도 OCBC의 보안 기능에 의해 위험하다고 표시되었습니다.
영향을 받은 고객들은 공식 앱 스토어에서 특정 앱을 삭제하고 다시 설치하는 것이 은행의 권장 해결책으로 제시된 것이 동작하지 않았다고 말했습니다.
대부분의 경우, OCBC의 대응은 표준적이었습니다. 새로운 보안 기능은 사기와 “고객들을 보호하기” 위한 노력의 일부라고 말했습니다. “불편을 드려 죄송합니다.”라는 문구를 은행은 여러 차례 화가 난 고객들에게 페이스북 페이지를 통해 반복했습니다. “이 기능은 악성 소프트웨어 사기로부터 고객들을 보호하기 위한 것입니다.”
또한: 최고의 VPN 서비스 (그리고 적합한 서비스를 선택하는 팁)
이 상황은 보안이 사용성을 우선시한 경우로 보입니다. 고객들의 불만을 읽은 후 나는 다른 은행을 선택한 것에 안도감을 느꼈습니다. 하지만 싱가포르의 금융감독원(MAS)이 은행의 보안 기능을 지원한다고 발언하면서 상황이 달라졌습니다.
“보안 조치는 일부 고객에게 약간의 불편을 초래할 수 있지만, 디지털 뱅킹의 보안과 신뢰를 유지하기 위해서는 필요합니다.”라고 말한 MAS는 “민감하고 분별력있는 대중과 함께, 견고한 보안 조치는 사기에 대한 방어를 강화하는 데 도움이 될 것입니다.”라고 덧붙였습니다.
규제기관의 응원 역할을 고려해보면, 나는 나머지 두 개의 주요 지역 은행 중 하나인 내 은행도 곧 비슷한 보안 “개선”을 도입할 것으로 기대하고 있습니다.
아마도 OCBC는 작년의 피싱 사기 사례에서 중심에 섰기 때문에 받은 경고일 것이거나, 또는 가위바위보 게임에서 지고 많은 고객의 불만을 받을 운명이었을 것입니다.
또한: 비밀번호 관리자를 보호하고 안전하게 사용하는 방법
어떤 경우든, OCBC의 혼란스러운 출시는 많은 점에서 바람직하지 않으며, 은행뿐만 아니라 규제기관도 함께 고민해야 할 문제를 제기합니다.
소비자 신뢰와 공동 책임
우선 한 가지 명확해야 할 것이 있습니다. 이것은 단순히 개인정보보호의 문제가 아니라 사용자의 신뢰 문제입니다. 원래의 기능대로 작동하지 않을 때 신뢰는 침식될 것입니다.
OCBC 고객들은 공식 앱 스토어에서만 앱을 사용하면 문제 없다고 확언받았습니다. 그러나 이러한 접근 방식은 문제가 있음이 드러났습니다.
또한: 안전한 원격 작업자의 8가지 습관
‘오, 그러면 앱의 권한 설정이 문제인 거군요,’라고 고객들에게 말씀드렸습니다. 그러나 은행은 이러한 권한 설정의 세부 정보에 대해서는 암묵적으로 말하지 않았습니다. 아마도 나쁜 사람들이 이러한 깃발을 우회하는 방법에 대해 알게 되지 않게 하기 위해서일 것입니다.
더 일반적으로 말하면, 정보의 부족과 투명성은 사용자들이 공식 스토어에서 다운로드하고 정당한 회사가 만든 앱이지만 어떤 문제가 있는지 궁금한 채로 남게 됩니다. 이것은 OCBC에서 보안 위험으로 간주되는 앱들을 포함하여 마이크로소프트, LG, Trend Micro와 같은 기업들이 보안 위험을 포함한 앱을 출시하고 있는 것을 의미합니까?
만약 그렇지 않다면, 주요 은행의 보안 ‘개선’이 잘못 식별한 앱들이 있는 건가요? 이 보안 개선은 출시 전에 철저하게 확인, 테스트 및 다시 확인되어야 할 것입니다.
따라서, 합법적인 앱과 실제 위험을 가지는 앱을 제대로 구분하지 못하는 보안 기능에 소비자들은 얼마나 신뢰를 할 수 있을까요?
또한: 해커로부터 인공지능을 보호하기 위해 노력하는 전문가들
더욱이, 사용자들에게 자신들이 어떻게 기기를 운영하고 싶은지에 대한 결정이 잘못되었다고 알려지고 있습니다. 다시 말해, 이 보안 개선은 ‘문제가 있는 앱을 제거하거나 우리의 앱을 사용할 수 없습니다’라고 시사합니다.
그러므로, 기업들이 고객의 기기 보안 결정을 덮어썼을 때, 침해가 발생하면 완전히 책임이 있어야 하는 것은 아닌가요? 고객은 은행 계좌에 계속 접속하려면 폰에 있는 항목 중 필요한 앱과 백신 도구를 선택할 권리가 거의 없기 때문에, 이것은 이들이 완전히 책임을 져야 함을 의미합니다.
최근에도 앱 권한과 조직들이 그들의 서비스를 용이하게 하는 데 불필요한 기능에 액세스해야 하는 이유를 설명하지 못하는 것에 대한 개인적인 불만에 대해 몇몇 업계 전문가들과 대화를 나누었습니다.
그때에는 이러한 비투명성은 이러한 비즈니스들이 고객들을 위험에 빠뜨리는 앱을 개발하고 싶지 않을 것이라는 확신에 의해 완화될 수 있다고 제안되었습니다. 따라서 이들의 브랜드 평판을 손상시킬 가능성이 있기 때문입니다.
저는 이 입장이 고객들이 자신들의 보안 자세를 책임져야 한다는 의미에서 자율성을 부여하는 것을 용인해서는 안 된다고 주장합니다.
실제로, 싱가포르 정부는 비즈니스들을 기쁘게 하기 위해 소비자들이 자신들의 사이버 위생을 보호하기 위해 공동 책임을 져야 한다는 필요성을 반복해서 강조했습니다.
“사기에 대한 지속적인 싸움은 모든 이해 관계자들이 깨어 있고 사기에 대비하는 데 참여해야 하는 생태계적 접근이 필요합니다,”라고 MAS는 말했습니다. 이 규제기관은 금융 기관, 통신 사업자 및 고객들이 온라인 사기에 대해 경계를 지키기 위해 어떤 역할과 책임을 맡아야 하는지 명확히 해줄 책임 프레임워크에 대해 작업 중입니다.
또한: 스마트폰을 해커로부터 안전하게 보호하는 5가지 쉬운 단계
만약 소비자들이 온라인 위생에 대한 책임과 책임을 져야 한다면, 그렇다면 어떻게 자신들을 최선으로 보호할 수 있는지에 대한 자신들의 결정권이 있어야 할 것입니다.
그리고 소비자들이 거래를 하는 조직들이 그들의 서비스를 어떻게 보안하고 있는지에 대한 더 많은 투명성과 정보에 접근할 수 있어야 할 것입니다.
고객들 (그리고 제 정신을 위해서), 나머지 은행들이 OCBC의 행보를 따를 예정인데 이러한 문제들을 회피하기 위해 주의를 기울이고 있는지를 확인하길 바랍니다.
예를 들어, OCBC가 은행의 보안 기능에 의해 초기에 깃발 지정된 앱을 포함할 수 있는 개인 ‘화이트리스트’를 고객들에게 제공함으로써 일부 문제를 완화시킬 수 있었을까요? 이러한 앱들은 보안 정책에 따라 확인 및 평가되고, 안전성이 확인된 후에만 화이트리스트에 추가될 수 있습니다.
은행들은 화이트리스트에 3개의 앱으로 제한을 둘 수 있으므로, 고객들은 절대적으로 필요한 앱에 우선순위를 두도록 동기부여를 받을 수 있으며, 은행들은 이러한 접근 방식을 운영하기 위해 필요한 리소스를 관리할 수 있습니다. 또한 인공지능 도구를 사용하여 일부 프로세스를 자동화하고 앱 평가 주기를 최적화할 수 있으며, 승인된 앱의 저장소를 유지함으로써 화이트리스트를 유지하는 데 필요한 노력을 더욱 줄일 수 있습니다.
또한, 은행들은 이미 그렇게 하고 있는지 모르는데, 백신 소프트웨어 공급업체를 포함한 주요 앱 개발자들과 그들의 권한 설정이 보안 체크리스트를 통과하는지 여부에 대해 의사소통해야 합니다. 그렇지 않다면, 그들 또한 위험한 앱 권한에 대한 구체적인 세부 정보를 공개하지 않기로 선택하고 있다고 가정합니다.
또한: 대중장소에서 4자리 아이폰 패스코드를 사용하지 마세요. 이 대신에 이렇게 해보세요
무엇보다도, 은행들이 자신들의 고객들의 보안 선택을 덮어쓰기를 선택한다면, 보안 침해 사고 발생 시 전체 책임을 지기 위해 준비가 되어 있는지라는 핵심 질문을 모든 은행들이 스스로에게 물어보아야 할 것입니다.
