금융보안 강화, 선택과 집중이 필요하다

개인정보유출, 변종된 피싱사기 등 금융범죄 지속 증가

선택과 집중을 통한 내실 강화로 보안 효율성 높여야

지난 2012년은 금융회사를 직접 대상으로 하는 보안위협이나 사고 발생건수는 상대적으로 미미했다. 지난 2011년 금융회사에 발생한 각종 해킹 및 대형 정보유출 사고에 따른 ‘금융회사 정보기술(IT)부문 보호업무 모범규준’과 같은 법적 조치 강화, 보안에 대한 경영진의 인식 변화 및 임·직원의 의식 수준 향상을 위한 의무교육 추진, 그리고 스마트금융 서비스 환경에서 발생 가능한 보안위협 예측과 사전 준비 등 금융정보보호 강화를 위한 각계각층의 노력의 결과일 것이다.
반면 전자금융소비자 대상의 피싱 및 대출사기, 스마트폰앱 위·변조를 통한 개인정보 유출 등이 급증하고 피해 규모 또한 크게 증가하면서 금융권의 주요 보안 이슈로 대두되었다. 특히 지난해 스마트폰 사용자가 3,000만명을 넘어서며 구현된 손안의 전자금융서비스 환경은 전자금융소비자를 관련 보안 위협에 쉽게 노출시켰다.

그렇다면 2013년 예측 가능한 보안 위협은 어떤 것이 있을까? 최근 금융보안연구원은 금융회사가 체감하는 주요 보안 이슈를 분석하고자 회원사를 대상으로 ‘2012년 주요 금융IT보안 이슈 및 2013년 전망’에 대한 설문을 진행한 바 있다.

130개 금융회사의 금융IT보안 담당자는 지난해에 이어 2013년에도 금융소비자 보호를 위한 고객정보관리 및 관련 정책/법안 등에 대해 가장 관심이 높은 것으로 나타났다. 특히 지난해 3월 개정된 개인정보보호법의 본격 시행된 이후 개인정보유출 사고가 끊임없이 발생함에 따라 행정안전부는 지난 3일 개인정보보호법에도 ‘주민등록번호 최소수집’이라는 국정운영방향과 함께 주민등록번호 수집과 이용을 전면 금지하는 조항을 신설할 것이라는 계획을 밝히는 등 관련 법안이 끊임없이 변하고 처벌 규정 또한 강화되고 있기 때문이다.

다음으로는 신·변종 피싱 사기 등을 통한 금융소비자 대상 금융범죄 및 피해가 지속적으로 증가할 것으로 전망했다. 최근 금융소비자 대상의 피싱 사기 추이는 단순한 보이스피싱 보다는 SMS를 보내 피싱사이트에 접속하게 하는 스미싱(문자피싱), 불법 다운로드 사이트 등을 통해 사용자 PC에 악성코드를 설치하고 정상 적인 경로로 금융거래사이트에 접속하더라도 피싱사이트로 접속하게 만드는 파밍의 수법은 더욱 교묘해 질 것으로 보인다. 특히 최근에는 잘못된 소액결제 취소를 핑계로 사용자에게 휴대폰 인증번호를 알아내 실제 결제를 진행하는 소액결제 사기가 급증하는 등 금융소비자의 심리를 교묘히 파고드는 각종 금융 사기가 지속적으로 발생할 것으로 보인다.

이 밖에도 금융회사는 스마트워크 환경이 본격적으로 구현되면서 발생 가능한 영역별 보안위협, 스마트뱅킹의 대중화 및 차세대 웹브라우저의 실현 등 변화하는 전자금융서비스 환경에 따른 신규 보안위협도 주목하고 있는 것으로 나타났다.
금융회사의 보안 강화는 결코 쉽지 않다. IT기술의 출현 주기는 점점 짧아지고, 전자금융서비스 환경도 시시각각 변하고 있는 상황에서 보안의 틈은 언제든 생길 수 있는 것이다. 보안은 지속적인 투자와 관리가 필요한 부분이다. 하지만 지난 몇 년간 지속된 세계적인 경제 불황과 유로 재정위기 등은 우리나라 금융시장에도 적지 않은 영향을 끼쳤다. 올해 금융회사 최고경영인의 신년사를 보면 전반적으로 ‘긴축운영’과 ‘리스크관리’ 움직임이 보이고 있다. 이러한 상황에서 IT보안에 대한 투자 증대는 어려울 수밖에 없다. 그럼에도 불고하고 금융·IT보안 담당자는 이번 설문에서 2013년 보안강화를 위해 준비할 사항으로 지난해에 이어 ‘정보보안 예산 및 IT보안 시설인프라 확충’, ‘정보보호 조직 확충과 내부통제 강화’ 등 이 필요하며, 모바일 금융 등 새로운 IT환경에서 발생 가능한 보안위협에 대한 준비가 필요하다는 응답률도 높게 나타났다. 내실 강화를 통한 보안성 제고로 실질적인 대안을 마련하고 선택과 집중을 통한 신규 보안위협 대응에 주력하고 있는 것으로 보인다. 하지만 금융회사 단독으로는 모든 사항을 해결하기 어렵다.

금융보안연구원은 금융회사의 전자금융거래 및 고객정보보호 관련 법률 이행을 위한 연구 및 지원을 적극적으로 수행하며, 스마트 모바일 전자금융 보안기술 선행 연구 등을 통해 최신 동향과 이슈에 적극적으로 대응할 방침이다.



관리자 기자