금융보안 기술결함 유기협력으로 메워야

가이드라인 벗어나 기업 자체적인 노력 필요
금융사 FDS 도입으로 보안사고 사전예방 중요

“아무리 보안이 강력해도 사고는 일어난다.”

7월 정보보호의 달을 맞아 금융감독원과 한국경영정보학회가 8일 서울 여의도 63시티에서 개최한 금융정보보호 세미나에 참석한 전문가들은 한결같이 이를 강조했다. 날로 증가하는 새로운 금융보안 위협 수법에 대응하는 기술의 한계를 인정해야 한다는 것.

보안기술에만 의존하지 말고 금융당국과 금융회사, 금융소비자 모두 보안의 중요성을 인식하고 서로 유기적인 협력이 필요하다는 지적이다.

◇ 전자금융거래 늘며 악성코드도 급증

안랩의 김기영 실장은 “보안은 뚫린다는 것을 전제로 해야 한다. 모든 종류의 공격에 대비하기 위한 구색을 갖췄어도 해커가 뚫으려고 마음만 먹으면 가능하다”고 주장하며 지난 2010년 이란의 핵시설을 목표로 했던 해킹프로그램 스턱스넷(Stuxnet)의 사례를 들었다.

아무리 보안이 강력하다고 해도 결국 사고는 발생한다는 것이다. 미국 정부에 보안서비스를 제공하는 글로벌 보안업체 Bit9 역시 이 회사에서 자랑하는 기술로 공격을 당하며 명성에 흠집이 났다. 그는 “우리가 보안기술에만 집착하고 있는 것은 아닌지 되돌아 봐야 한다”며 “가이드라인만 따라가서는 안 된다”고 지적했다.

김 실장은 “제품을 기획할 때마다 ‘이거 만들면 어떤 기관에서 사용할건데?’라는 질문을 받는다. 아무리 좋은 제품을 만들어도 가이드라인에 나와 있지 않으면 기관에서 사용하지 않는다”고 말했다. 기업들이 보안을 위해 최선을 다했다는 구호만 외칠 것이 아니라 시대에 맞는 실효성과 사용자 관점의 보안정책이 필요하다는 주장이다. 성재모 금융보안연구원 본부장은 “전자금융거래가 늘어나면서 악성코드 역시 급격하게 증가하고 있다”고 밝혔다.

지난해 유포된 악성코드는 1만7750개에 달했다. 초기엔 단순 정보수집 등이 목적이었으나 이제는 금융정보탈취, 파밍 등의 수법으로 번지고 있으며 기간 역시 일시적인 공격에서 장기공격으로 다양화하고 있는 추세다. 이어 “모바일 악성코드는 올 1분기 2062개로 지난해 1분기 대비 400배 증가했고 스미싱 피해 역시 20억 가까이 증가했다”며 스마트폰 보안의 위험에 대해서도 지적했다.

성 본부장은 “정부는 개인정보보호를 위한 많은 책임과 의무를 기업에 부여하고 있지만 정작 금융사의 CEO들은 보안담당 직원의 업무로만 생각하는 경향이 있다”며 이들의 인식전환을 촉구했다. 또한 “최소한의 규정 준수 노력에서 벗어나 금융사 자체적으로 자율적인 보안체계를 확보해야 한다”고 주장했다.

◇ “우리가 해커보다 노력하는가?”

하나은행 최고정보책임자(CIO)를 맡고있는 유시완 전무는 “대부분의 해킹이 금전적 이득을 취하기 위한 것이라 금융기관이 주요 타깃인데 기술적인 강화만으로는 한계가 있다”며 “현재 하나은행에서 이상금융거래탐지시스템(FDS) 도입을 준비 중인데 금융기관을 비롯해 정부기관, 통신사 등이 함께 사고유형에 대한 사례나 정보들을 공유할 수 있었으면 한다”고 밝혔다.

또한 유 전무는 “금융보안을 위해 감방에 있는 해커만큼 열심히 공부하는가?”라고 반문해 눈길을 끌었다. 그는 “해킹으로 인해 검거된 해커들은 보통 3년형을 구형 받는다. 해커들은 대부분 같은 감방에서 지내는데 이 기간 동안 스터디그룹을 만들어 정말 열심히 공부한다고 한다. 우리도 그만큼 절실히 공부하는지 되돌아봐야 할 것이다”라고 말했다.

박근태 금감원 IT보안팀장 역시 “보안기술로 모든 금융사고를 막을 수는 없다”며 “창의적이고 부지런한 해커들을 어떻게 막을 것인지 고민해야한다”고 주장했다. 향후 FDS를 통한 보안사고 예방의 중요성에 대해서도 강조했다. 정현철 한국인터넷진흥원 단장은 사후복원력에 대해 이야기했다. 그는 “해킹은 언제든지 당할 수 있기 때문에 이후 얼마나 빨리 복원하고 탄력 대응하는지가 중요하다”고 말했다.

최근 증가하고 있는 APT(지능형지속위협) 공격에 대비해 이들이 주로 노리는 취약점인 업데이트 서버에 대해서도 철저한 시스템을 갖출 것을 주문하기도 했다. 2011년 농협해킹사건이나 지난해 ‘320 해킹대란’, KT 홈페이지 해킹 등이 모두 6개월에서 1년 이상 해커가 잠복해서 공격하는 APT 수법이었다.

법무법인 율촌의 손도일 변호사는 “객관적인 제3자의 의견이 필요하다”고 말했다. “내부적으로 점검해보면 전부 운영이 잘 되고 있다고 평가하는데 사고는 계속해서 발생한다”며 “금융사들이 보안에 대한 법률적인 규정은 잘 따르고 있지만 이것이 해외와 비교했을 때도 베스트 모델인지 검토해야 한다”는 것이다.

김효원 기자 hyowon123@fntimes.com