[김영기 금융보안원장] 사이버 대응, 골문을 비워 두진 않았는가?

사람들을 만나면 으레 듣는 말이 있다. “미국은 대통령까지 나서서 사이버 공격 배후로 러시아, 중국 등을 지목하며 국가적 차원에서 대응 체제를 강화하고 있는데 우리나라는 뭐하지?” “우리도 어떻게 해야 되는 거 아냐?” “금융에서 오픈 뱅킹, 마이데이터 등 혁신은 제대로 가고 있는 거야? 이러다 정말 큰 사고가 나는 거 아냐? 보안은 괜찮아?”

코로나19에 지치고 정치 이야기로 조용할 날이 없지만, 미래를 대비하는 의미에서 사이버 안보, 그리고 금융 산업 변화에 대하여 짚어보자.

작년 12월 IT장비 모니터링 솔루션 기업인 솔라윈즈(SolarWinds)의 네트워크 관리 도구 업데이트 파일에 악성 코드를 삽입하는 해킹 공격으로 미국에는 재무부와 상무부, 통신정보관리청, 파이어아이, 마이크로소프트 등 1만8000여 개 정부기관, 공공?민간 시스템에 피해가 발생하였다.
이는 역사상 최악으로 손꼽을만한 공급망(Supply Chain) 공격으로 미국은 러시아 해킹 그룹이 그 배후에 있다고 지목하였다. 올해 3월 드러난 마이크로소프트사 기업용 이메일 소프트웨어 서버 해킹은 중국 국가안전부가 관련된 해커들의 소행이라고 강력히 비난하였다.

5월에는 송유관 운영 업체인 콜로니얼파이프라인이 랜섬웨어 해킹으로 수일간 셧다운되었고, 연이어 육류가공업체 JBS가 랜섬웨어로 피해를 보았다.

7월에는 IT 자산관리 소프트웨어 회사 카세야의 원격관리 소프트웨어 취약점을 이용한 랜섬웨어 공격으로 전 세계 1천여 기관이 감염되었다. 이러한 여파로 미국에서는 연료와 식량 공급 문제가 유발되었고, 국내외 수많은 기관?기업의 IT 인프라 보안이 영향을 받았다.

이렇게 되자 바이든 대통령은 올해 4월 주미 러시아 외교관 10명을 추방하고 이어 푸틴 러시아 대통령에게 러시아 기반 해커들의 사이버 공격에 대하여 책임을 묻도록 요구했다. 아울러 사이버 대응을 위한 각종 행정조치 등도 강화하였다.

8월25일에는 빅테크, 금융사, 기간산업 최고경영자를 불러 사이버 보안회의를 주재하여 민간 기업의 사이버 보안 강화 조치를 요청하였다. 그 결과 구글, 마이크로소프트, IBM 등의 기업들은 대규모 보안 투자와 전문인력 양성 계획을 발표하였다. 이러한 일련의 움직임들은 이제 사이버 상 위협 공격이 한 국가의 최고 통치자가 전면에 나설 만큼 국가 안위를 위협하는 중대한 사안이라는 점을 말해 주고 있다.
우리나라도 다양한 분야에서 해킹 피해가 발생하고 있다. 작년 11월 유통 대기업 서버가 랜섬웨어에 감염되고 거액을 요구받았으며 탈취된 정보가 다크웹에 공개되었다.

올해 5월에는 배달대행 플랫폼 기업이 랜섬웨어에 감염되면서 3만5000 점포의 서비스 접근이 차단되고 1만5000 명 종사자가 피해를 입었으며, 6월에는 한 대학병원에서 랜섬웨어 공격으로 개인정보 유출 정황이 발견되었다.

4월부터 7월 중에는 가상사설망(VPN) 솔루션의 취약점을 통해 한국원자력연구원, 한국항공우주산업 등 연구기관과 방산업체들의 전산망이 해킹되고, 상시로 스피어 피싱 메일이나 악성코드가 유입되는 등 국가 배후 해킹 조직이 지속하여 해킹 공격을 시도하고 있음이 알려졌다.

금융권도 예외가 아니다. 금융회사들이 사용하고 있는 소프트웨어나 보안 장비의 취약점을 이용한 공급망 공격은 늘 지속되고 있고, 미상의 국가 배후 해킹 조직으로부터의 스피어 피싱 메일과 악성코드 공격은 끊이지 않고 있다.

한편 내년 대선을 앞두고 사이버안보기본법 제정과 사이버안보 전담기관의 필요성이 제기되고 있다. 이는 모든 정보보호 종사자들의 오랜 숙원이기도 하다. 유념할 것은 사이버 안보의 특성을 충분히 고려하여 전 부처나 산업을 효율적으로 컨트롤할 수 있는 조직 설계가 필요하다는 점이다. 지금의 사이버안보 대응 체계는 각 부처나 기관을 아우르는 총괄 전담기능이 약하고 통합 대응이 아쉽다. 부문별 대응과 통합 대응의 효율성을 높이고 사이버 전문인력을 육성할 수 있어야 한다.

금융 부문에는 다양한 혁신이 진행 중이다. 2019년 12월 정식 가동된 오픈 뱅킹은 전통 금융회사에서 핀테크 기업으로 참여자가 확대되었다.

핀테크 기업의 경우 보안 점검 결과 중요정보가 네트워크나 웹 영역 등에 노출된다던가, 인증을 우회하는 취약점 등이 발견되어 그 미비점을 보완해 왔다. 그러나 금융결제망이 개방되고 참여자가 확대되면 보안상 취약점은 필연적으로 더 늘어날 수밖에 없다.

내년 1월 본격 시행 예정인 마이데이터 사업도 데이터의 안전한 보호와 활용이라는 면에서 실무적으로 이를 뒷받침할 일은 너무 많다. 정보 제공자와 마이데이터 사업자 간에 API를 통해 데이터가 안전하게 송수신되도록 각자 시스템을 구축하고 충분하게 테스트를 거쳐야 하며, 이용자 통합인증 시스템에도 소홀함이 없어야 한다. 마이데이터 사업자의 데이터 관리 및 보안 통제가 제대로 이루어지지 않으면 정보 제공자인 금융회사들도 같이 위험에 노출된다. 하나같이 참여자들이 하루빨리 시장을 선점하려고 치열한 경쟁을 벌이다 보니 보안을 소홀히 하기 쉬운 영역이다.

클라우드 이용이 확대되면서 클라우드서비스 사업자의 경우 관리자에게 과도한 권한을 부여하거나, 재해복구센터를 구축하지 않는 등 보안 통제가 미흡한 점도 발견된다. 데이터센터에 물리적 출입통제 절차가 잘 지켜지지 않기도 한다. 클라우드서비스 사업자 영역에서 다양한 위협이 발생할 수 있으므로 금융회사는 제3자 리스크와 보안 상태를 각별히 관리하여야 한다.

초연결은 확대되고 사이버 위협은 진화되는데 우리는 지금 제대로 가고 있는가. 보안을 고려하지 않고 혁신을 부르짖는 건 골문을 비워놓고 축구를 하는 것과 같다. 국가, 기업, 개인 모두 미리 외양간을 고치지 않으면 소를 잃은 후 반드시 후회하게 된다.

[김영기 금융보안원장]