[포커스] “금융IT보안 선택이 아닌 필수”

해킹시 고객, 금융사, 국가경제적으로 피해

인식개선 따른 보안투자로 보호막 갖춰야

최근 은행, 증권, 캐피탈 가릴 것없이 잇따라 금융보안 사건이 터지면서 주목받는 인물이 있다. 그 주인공은 금융보안연구원은 곽창규 원장. 이곳은 지난 2005년 국내 최초로 발생한 인터넷뱅킹 사고를 계기로 설립된 금융정보보호전문기관. 그가 취임 초기부터 강조한 금융보안론이 최근 잇딴 해킹으로 재조명받으면서 곽 원장의 선견지명이 화제를 모으고 있는 것이다.
◇ 금융전자거래는 생활, 보안중요성 부각

“금융IT보안은 선택이 아닌 필수입니다.” 금융보안연구원 곽창규 원장은 금융보안의 중요성에 대해 이렇게 강조했다. 겉으로 보기엔 금융IT보안이 투자 대비 결과가 비용우위산업인 것 같으나 장기적으론 금융보호로 고객의 신뢰를 높이는 비용대비 투자효과가 높은 고부가가치 시장이라는 것이다.

금융IT보안은 피할 수 없는 대세라는 게 그의 판단이이다. 곽 원장의 설명에 따르면 우리나라 인터넷뱅킹 이용금액(일평균 기준)은 지난해 29조6886억원으로 전체 금융거래 가운데 전자금융 이용 비중이 80%를 훨씬 웃돈다. 대부분의 금융거래가 비대면 거래, 즉 전자금융거래가 중심이라는 것이다. 모바일뱅킹도 최근 스마트폰 가입자가 1000만명을 넘으며 이를 이용한 모바일뱅킹 서비스 이용건수와 금액은 일평균 95만건, 468억원 규모에 이르는 등 전자금융서비스는 이미 생활활 되었다. 하지만 전자금융의 고속성장만큼 금융IT보안의 속도는 그 성장세를 따라잡지 못한다는 게 그의 진단이다.

“전자금융서비스가 활발히 이용되고 편리한 순기능의 이면에는 이를 위협하는 해킹사고가 지속적으로 발생하고 있어요. 과거와 달리 금전적 이득을 노린 개인정보 탈취 목적의 사이버 침해공격이 급증하고 있으며, 이로 인한 금융정보 유출은 예금 불법 인출 및 보이스 피싱 등 전자금융의 주요 위험요소가 되고 있습니다. 무엇보다 금융회사를 대상으로 하는 해킹은 엄청난 금전적 손실과 함께 사회적 혼란을 야기하는 중차대한 사안입니다.”

문제는 전자금융의 양적발전에 발맞춰 해킹같은 사이버범죄도 급증한다는 점이다. 그의 눈으로 보기에 국내금융 기관의 IT보안수준은 갈수록 교묘화되는 사이버범죄를 막기에 역부족이다. 전자금융거래 이용률 대비 해킹사고 횟수를 살펴보면 전자금융시스템 보안은 선진국에 비해 상대적으로 잘 구축됐다. 하지만 최소한 기본보안인프라를 갖췄을뿐 해킹기술이 점점 지능화되는 것을 감안하면 언제든 위험에 노출돼 있다. 아직까지 경영층의 보안 인식, 투입되는 정보보호 예산 및 인력부문은 감독당국에서 제시하는 가이드라인에 못미쳐 여전히 불씨는 남았다는 지적이다.
◇ 사이버범죄 지능화, 교묘화 보안기술도 업그레이드필요

금융IT보안에 대한 중요성이 갈수록 커진다는 게 그의 진단이다. 금융보안사태가 터질 경우 금융사는 물론 고객뿐만아니라 국가경제까지 심각한 타격을 미치기 때문이다.

그는 이와 관련 “전체 금융 경제의 원활한 작동을 위한 필수요소로 이에 대한 위협은 국가 경제활동 대부분에 심각한 영향을 주어 엄청난 금전적 손실 및 국가신뢰도에도 심각한 타격을 줄 수 있다”며 “또한 전자금융서비스가 마비되거나 심각한 장애를 일으킬 경우 국민들의 일상적인 경제 행위가 어렵게 되고 기본적인 욕구가 해결되지 못할 가능성이 높아짐에 따라 오프라인에서의 제2, 제3의 피해로 이어질 가능성도 높아질 수 있다”고 경고했다.

보안사고에 따른 전자금융의 마비는 좁게는 고객손실, 해당금융사의 신뢰상실을 낳고 나아가 국가경제에 큰 타격을 입힌다. 국가안보까지 영향을 줄 수 있는 중대한 사안이라는 우려다. 시간이 흐를수록 금융IT보안이 중요함에도 불구하고 주먹구구식 대응으로 리스크에 노출됐다는 게 그의 진단이다.
IT환경의 급속한 변화로 아무리 사이버범죄를 막는 방어막을 쳤음에도 불구하고 해킹기술 융·복합에 따른 사이버범죄가 지능화되는 상황에서 100% 완벽한 보안은 현실적으로 어렵다. 일회성이 아니라 지속적인 관리대책 수립과 투자가 뒷받침되어야만 안전한 전자금융서비스를 제공할 수 있다는 주장이다. 이같이 곽 원장이 밝힌 금융IT보안 기준으로 대부분의 금융회사 보안 수준을 평가하면 여전이 부족한 점이 많다. 무엇보다 금융IT보안에 대한 인식은 여전히 제자리걸음이다.

“대부분 금융회사들이 ‘금융보안’을 비용의 관점에서 접근하고 있는 것이 현실입니다. 실제로 지난 2008년 저축은행 등의 정보유출 사고를 계기로 금융권에서는 ‘금융보안’이 큰 이슈가 되어 관련 예산 편성이 일부 확대되었으나, 이후 점차 예산이 축소되는 등 사고 발생에 따른 반짝 관심에 그친 경향이 있어요. 최근 금융보안 사고를 계기로 ‘금융보안’은 지속가능한 경영목표달성을 위한 필수조건임을 다시금 확인하게됐습니다.” 그가 금융IT보안 활성화를 위해 꼽은 가장 효율적인 방안은 금융위가 제시한 가이드라인 준수다.

최근 금융위는 보안사고가 위험수준에 이르자 대대적인 금융사 IT보안강화 종합대책을 발표했다. 근원적인 IT보안 강화를 위해 경영진의 인식전환과 IT보안조직(인력·예산)의 실질적인 역량강화 등이 핵심이다.

그 실천일환으로 우선, IT보안 관련 CEO의 책임 부여, 정보보호최고책임자(CISO) 지정의무화 등을 통해 책임관리시스템을 구축하고, 사고시 제재수준을 강화하도록 했다. 또 해킹 등 침해사고 발생 가능성을 최소화하기 위해 IT보안 인프라 개선 및 내부통제나 기술적 보안관리도 강화된다. 곽창규 원장은 “정부차원의 이러한 대책에 따라 금융회사가 신속히 대응하고 후속조치 등을 이행한다면 금융보안 수준은 크게 개선될 것”이라고 기대감을 나타내기도 있다.

◇ 멀티플레이형 보안서비스로 고객만족

효율적으로 금융IT 보안 수준을 높이는 방안도 있다. 바로 금융보안연구원의 인프라, 분석보고서, 컨설팅 등을 100% 활용하는 것이다. 금융보안연구원은 지난 2005년 5월 국내 최초로 발생한 인터넷뱅킹 해킹사고를 계기로 세워진 국내 유일의 금융보안전담기구다.

곽 원장의 설명대로 설립된지 불과 4년만에 맺은 열매도 적지않다. 먼저 회원사의 서비스질의 수준이 높아졌다. 신용카드 VAN사업자에 대해 안전성 합동점검을 지원하여 금융권 보안수준을 한단계 더 높였다. ‘IC카드 금융SW모듈 보안을 위한 요구사항’ 표준 개발 및 국제수준(ISO17025)의 SW 시험체계 구축을 추진하여 시험의 객관성도 확보했다. 곽 원장의 지휘 아래 보안신기술개발에도 가시적인 성과가 기대되는 상황이다. 스마트폰, IPTV, VoIP 등 신기술 기반 전자금융 취약성 분석과 DDoS 모의훈련 지원, 홈페이지 및 무선랜 취약점 점검 등 창과 방패를 겸비한 멀티플레이형 보안서비스로 업그레이드되고 있다. 뿐만 아니라 장기적으론 금융이용자의 보안의식 향상에도 힘쓰고 있다.

그는 “금융정보보호 아카데미 운영 및 대학생금융보안캠프 개최 등을 통해 대국민 보안의식을 높이고 있다”며, “금융보안포럼을 신설·운영하여 업계, 학계, 정부 간 금융보안 정보공유 및 논의체계를 구축하는 상황”이라고 설명했다.

곽 원장은 또 내부조직역량의 향상에 대해서도 “주기적으로 이슈리포트 및 연구보고서를 발행하여 기술 수준을 업그레이드하고 있다”며 “최근 금융감독원으로부터 공인인증서 외 전자금융거래 인증방법에 대한 안전성을 평가하는 ‘인증방법 평가기관’으로 최초 선정됨에 따라 안전한 전자금융거래 환경조성에 기여할 것”이라고 덧붙였다.

곽창규 원장은 박사출신의 금융보안 전문가다. 미국 일리노이대학(UIUC)에서 경제학 박사를 취득한 뒤 금융보안포럼회장, 한국정보보호학회 고문도 함께 맡고 있다. 한편 그는 최근 금융보안의 중요성이 커지는 만큼 금융보안연구원도 금융보안원으로 승격, 변화하는 시대상에 맞춰 그 역할을 넓힐 필요성이 있다고 강조하기도 했다.

〈 주요 경력 〉

- 1998.9~1999.2 이화여자대학교 겸임교수

- 1993.2~1995.3 경제정의실천시민연합(경실련)

상임 연구위원

- 1995.4~2007.1 한나라당 여의도연구소 선임 연구위원

- 2007.2~2009.7 한나라당 여의도연구소 상근부소장

- 2011.3~ (現)한국개인정보보호협의회 자문위원

- 2011.1~ (現)한국정보보호학회 고문

- 2010.7~ (現)금융보안포럼 회장

- 2009.10~ (現)금융보안연구원 원장



최성해 기자 haeshe7@fntimes.com