“금융보안 강화?… 경영진 인식부터 바꿔라”

SK텔레콤에서 해킹 공격으로 고객 개인 정보 유출 사고가 발생한 가운데 금융권도 안전지대가 아니라는 진단이 나왔다. 이러한 보안 사고 예방을 위해선 경영진의 인식 변화가 필요하다는 지적이다. 

금융보안원이 23일 오전 개최한 ‘창립 10주년 세미나’에서 허세경 금융보안원 팀장은 “금융회사의 보안 문화가 정착되려면 경영진의 인식이 바뀌어야 한다”며 “경영진이 경영 리스크 관리측면에서 보안이 핵심 요소인 것을 깨닫고 경영 목표로 삼아야 한다”고 말했다.

허 팀장은 “국내 감독 규정이 개정됐지만 금융사는 여전히 규정 중심 규제 방식에 따라 체크리스트만 수행하는 소극적인 문화를 가지고 있다”며 “디지털 금융환경에서 고도화된 위협을 제대로 대응하는데 무리가 있다”고 지적했다.

그러면서 “지금까지는 이사회에서 보안 논의가 없었다”며 ”정보보호 최고책임자(CISO)가 이사회에 참여한다고 해서 보안 문화가 전사적으로 뿌리 내릴 수 있을지를 두고 회의적인 입장이 많은 것도 사실”이라고 했다. 

이어 “금융회사가 자사 금융환경에 맞는 자율 보안 체계로 바뀌어야 한다”며 “금융보안원은 올해 금융회사와 같이 자율보안 프레임워크를 개발하고 실제 테스트를 할 계획”이라고 밝혔다.

또 “경영진 보안의식 제고를 위해 금융보안 거버넌스를 구축하고 사외이사를 대상으로 하는 교육을 진행하는 등의 방안도 검토 중”이라며 “망분리 규제 완화를 위해서도 금융회사가 보안 가치를 재평가하고 비즈니스 전반에 내재화할 수 있어야 한다”고 강조했다.

규정 중심에서 원칙 중심 규제로 바뀌어야 한다는 주장도 나왔다. 규정중심 규제는 규제목적을 달성하기 위해 금융회사가 준수해야 할 구체적 행위 기준을 구체적으로 제시하는 방식이다. 반면 원칙중심규제는 규제목적 달성을 위한 큰 원칙만 제시하고 구체적인 행위 기준은 각 금융회사가 자율적으로 판단하고 결정하도록 한다.

강형우 고려대학교 교수는 “원칙 중심 규제로 바뀐다고 했을 때 규제 완화라는 인식이 있지만, 큰 오해”라면서 “기술적으로 복잡해지고 첨단 기술이 도입된 상황에서 규정 중심보다는 원칙 중심이 더욱 적합하다”고 설명했다.

강 교수는 “올해 전자금융감독규정에 도입한 것은 바람직한 일”이라며 “망분리 규제는 대표적인 규정 중심 규제로 과거의 망분리 규제 아래에서 현재의 기술을 따라갈 수 없다”고 덧붙였다.

이어 “망분리 규제도 원칙중심으로 가야 한다”며 “실제 금융권에서 금융회사가 더 보안을 강화해 만들고 싶은데 망분리 규제 때문에 더 안전해지지 못하는 경우도 있었다”고 했다. 

민경표 카카오뱅크 CISO는 선제 대응이 중요하다고 강조했다. 민경표 CISO는 “클라우드나 AI 기술 확대를 두고 우려하는 것은 대부분 보안”이라며 “보안 위협을 선제적으로 대응하느냐는 새로운 기술 받아들이는데 중요하게 검토하는 사항”이라고 했다.

그는 또 “보안 관점에서 선제적으로 평가하기 위한 제도적, 절차적인 부분이 필요하다”며 “새로운 기술을 보다 안정적으로 활용하려면 보안이 선제적으로 검토돼야 하고 망분리 완화 기조에 앞서 보안 기술부터 먼저 점검해야 한다”고 했다.

카카오뱅크의 보안과 관련해선, “제3자‧공급망 위험에 대비하기 위해 이들의 서비스가 중단됐을 때 어떻게 대응할지, 이들이 가진 위험성 자체가 전이 됐을 때 어떻게 대응할지 시나리오별로 관리하고 있다”고 설명했다.

또 “실시간 모니터링을 통해 실질적인 위험을 파악하고 서버나 시스템에서 발생하는 보안 이벤트의 경우 악성코드인지, 정상적인 이벤트인지 등으로 나누어 파악하고 있다”며 “하루 2100만건의 활동에 대해 탐지가 이뤄지고 있다”고 했다.

윤명근 국민대학교 교수는 “선제적 보안이 중요하다”며 “서비스나 시스템을 디자인할 때부터 아키텍처를 안전하게 하는 것과 구축된 다음 모니터링, 빅데이터를 정밀하고 정교하게 분석하는 방법 등 두 가지가 있다”고 말했다.

그러면서 “AI가 이를 도와줄 것으로 기대한다”며 “정밀하게 탐지할 수 있는 AI 모델 만들어야한다”고 덧붙였다. 

한재희 기자
onej@chosunbiz.com