금융권, 보안 취약성 대책 마련에 공조

금전적 갈취를 목적으로 한 다양한 보안위협이 기승을 부리는 가운데, 효율적인 대응방안을 모색하기 위한 공감대가 형성됐다.

지난 11일 여의도 전경련회관 3층에서는 금융 분야 정보보호를 위한 ‘제1회 금융 정보보호 컨퍼런스’가 개최됐다. 이번 컨퍼런스는 금융보안연구원이 주최하고, 금융감독위원회와 금융감독원이 후원한 것으로, 금융기관 IT 실무자를 포함한 500여 명이 참석한 가운데 진행됐다.

금융기관의 보안 위협에 대한 공동의 대응방안을 모색하기 위해 처음으로 추진된 이번 행사에서는, 해킹 등을 포함한 갖가지 사고사례뿐 아니라 다양한 금융기관의 성공적인 보안시스템 구축사례가 소개됐다.
동 행사장에는 닉스테크ㆍ소만사ㆍ소프트런ㆍ스포트캠프ㆍ시스코시스템즈코리아ㆍ어울림정보기술ㆍ유넷시스템ㆍ이그룰시큐리티ㆍ잉카인터넷ㆍ케이와이즈ㆍ파수닷컴ㆍ펜타시큐리티 등이 자사 솔루션을 소개하는 부수를 마련해 기술력을 과시하기도 했다 .

◆ 전자금융 취약점에 공감

처음으로 개최된 이번 행사는 오전 9시부터 오후 18시까지 진행됐지만, 오후 늦은 시간까지 빈자리를 찾아보기 힘들 만큼 높은 참여율을 기록해, 최근 사회적 이슈로까지 대두된 다양한 보안위협에 대한 금융기관의 높은 관심을 엿볼 수 있었다.

이번 행사에서 금융감독원의 김인석 IT 부국장은 ‘최근 전자금융 이슈 및 감독정책 방향’이란 주제의 기조연설을 통해 전자금융의 현황 및 당면과제, 그리고 이를 해결하기 위한 금융감독당국의 정책 등을 소개했다.

이어서 임종인 고려대학교 정보경영공학전문대학원장은 ‘전자금융거래 안정성 강화 방안’이란 주제로 산학협동의 중요성을 강조했고, 동시에 다양하게 진화하는 전자금융거래의 위협요인에 효율적으로 대응하기 위해서는 산학연 공동 연구가 현재보다 강화되어야 한다고 주장했다.
오후 세션으로는 경찰청 사이버테러대응센터 장석화 팀장의 발표가 이어졌는데, 장 팀장은 지난 2년여 동안 국내에서 발생한 주요 금융사고가 점차 지능화되고 있어, 이를 추적하기 위해서는 로그저장 등의 법제화가 추진되어야 한다고 강조했다.

한편 성공적인 보안시스템 구축사례로는 대우증권의 네트워크 보안시스템 구축 사례가 소개됐다.

대우증권의 김정혁 팀장은 “초기 대우증권의 네트워크 시스템은 다양한 위협에 노출된 상태였다”며 “그동안 이러한 취약점을 보완하기 위해 다양한 보안대책을 수립해 왔다”고 설명했다.

또한 “자체적으로 진행한 위험성 분석결과에 의하면 IT를 담당하는 핵심부서의 보안취약성이 일반부서보다 더 높게 나타났다”며 “이는 IT에 자신 있는 전문가들이 ‘설마 우리가 위험성에 노출될까?’라는 불감증에 의한 것”이라고 보안 마인드 확립의 중요성을 강조했다.
이어서 대한생명보험의 이만재 정보보호그룹장은 ‘금융권 개인정보 관련법 분석 사례’란 주제로 현재 금융기관이 준수해야 하는 다양한 법률현황을 정리해 발표했다.

이만재 정보보호그룹장은 개인정보 보호의 중요성을 강조했는데 “현재 금융기관이 보호해야 하는 개인정보의 영역은 생존한 사람의 알아볼 수 있는 가치있는 정보”라며 “다양한 법이 복합적으로 적용될 수 있는 영역인만큼 실무자가 법을 제대로 알고 대비해야 한다”고 강조했다.

◆ 정보공유체계 확립 절실

동 행사에서는 각 분야의 전문가가 패널로 참석한 가운데 열띤 토의가 진행되기도 했다.

염흥렬 순천향대학 교수의 사회로 진행된 패널토의에서는 △금감원 김인석 부국장 △전남대 노봉남 교수 △전자신문 김인순 기자 △CISS협회 이성권 회장 △정보보진흥원 이재일 단장 등이 패널로 참여해 전자금융 취약점 발견 시, 이를 효율적이고 신속하게 공유할 수 있는 기술적ㆍ제도적 개선방안을 집중적으로 논의됐다.

금감원 김인석 부국장은 “금융감독원은 초기에는 보안사고에 대응하기 위한 후속조치만을 진행해 왔지만, 최근에는 좀 더 적극적인 모습을 보이기 위해 자체 시스템 개발을 지향하고 있다”며 지금까지는 금융사고가 발생하면 신속한 조치를 취해 피해를 최소화하는 데 주력해왔다고 설명했다.

한편, 금융기관의 보안 사고를 다루는 언론과 이를 무마하려는 금융기관을 강하게 비판했다.

김 부국장은 “국내에서 금융사고가 발생하면 대안도 없는 상태에서 언론이 가장 먼저 이를 발표해 왔다”며 “금감위ㆍ금감원이 금융기관을 대상으로 이를 조사하면 사실로 드러나는 경우가 많았다”고 말했다.

또한 “금융기관의 경우 문제점이 발생하면 보고하지 않고 그냥 덮어버리려는 경향이 강하다”며 “신속한 보고체계와 문제점을 함께 고민할 수 있는 공동의 협조체제를 갖춰가는 노력을 강화해야 한다”고 강조했다 .

한편, 전남대의 노봉남 교수는 대학기관 내에서 진행 중인 취약점 분석 노력의 중요성을 강조했다.

노봉남 교수는 “현재 대학기관의 연구성과로 다양한 보안 취약점에 대한 보고가 접수되고 있다”며 “대안이 없는 상황에서 취약점만을 부각하는 연구성과에 금융기관 실무진이 대응하기 어려워하는 것이 사실”이라고 현 상황을 진단했다.

특히 해외에서는 참여 제한이 없는 민간차원의 커뮤니티가 활성화된 상태라며, 해외의 우수사례를 국내에도 적용해 전문적인 커뮤니티를 활성화할 필요성이 높다고 강조했다.

◆ 직업윤리 강화노력 필요

한국CISSP의 이성권 회장은 전문화ㆍ조직화 되어가는 해커들의 위험성을 지적하며, 동시에 우수한 기술인력 양성보다는 바람직한 기술인력 양성의 중요성을 강조했다.

이성권 회장은 “최근 개봉한 다이하드4.0은 현 해킹기술의 최악의 상황을 보여준 대표적이 사례가 될 것”이라며 “음성적으로 활동하는 조직은 점차 체계화되어가고 있으며 동시에 투자의 여력 또한 증가하는 추세”라고 우려했다.

또한 “공격은 하루아침에 일어나는 것이 아니라 작은것부터 서서히 진행돼 결국 금전적 갈취를 시도하는 것으로 마무리된다”며 “이제 트랜드를 예측할 수 없다면 조직화ㆍ다단계화ㆍ세력화 되는 위협을 막을 수 없다”고 설명했다.

한편, 인성교육의 중요성을 강조하는 대목에서는 “암호화 기술력을 정부에서 사용하면 중요 데이터 유출을 방지할 수 있지만, 범죄조직이 활용하면 비자금의 정보를 감추는 데 사용될 수도 있다”며 “같은 기술을 가지고도 사용자의 목적에 따라 전혀 다른 결과를 낳을 수 있다”고 말했다. 또한 “기술교육도 중요하지만 직업윤리를 바르게 세우는 노력이 더 중요한 문제”라며 “기술교육에만 집중하는 현 체제에서는 우수한 음지 인력의 양성만을 더욱 부추기는 셈”이라고 지적했다.



김남규 기자 ngkim@fntimes.com