“해커보다 한 발 앞서 대응… 금융사 자율보안 적극 지원”

랜섬웨어, 공급망 공격, 생성형 AI 기반 사기, 딥페이크 보이스피싱...

금융권을 상대로 한 사이버 공격이 날이 갈수록 진화하고 있다. 단순 침입이 아니라 인프라 자체를 인질로 삼아 금융소비자를 위협하고 있다. 기술 의존도가 높아질수록 보안은 선택 사항이 아니라 생존의 조건이 됐다. 

올해로 설립 10주년을 맞은 금융보안원이 규제 중심 기관에서 ‘기술 기반 실전 대응 조직’으로 변화를 꾀하고 있다. 특히 올해 여름 터진 SGI서울보증 랜섬웨어 사태를 협상 없이 복호화(암호화 이전 상태로 복귀)하는 이례적인 성과를 내면서 기술·속도·분석 능력이 결합한 결과로 주목받았다.

박상원 금융보안원 원장은 “보안은 신뢰를 기반으로 혁신을 지속 가능하게 만드는 것”이라며 “규제의 틀 안에서 디지털 금융 혁신을 이끌 수 있는 토대를 마련할 것”이라고 말했다.

박 원장의 말처럼 금융보안원은 올해 공급망 보안 플랫폼을 구축은 물론, AI 기반 보이스피싱 분석 플랫폼(ASAP) 출범, 디지털자산 보안 연구 등으로 영역을 넓힌 바 있다. 

올해 1월 금융보안원장에 취임한 박 원장은 금융감독원 조사국, 은행감독국, 기획조정국, 금융그룹감독실장을 거쳐 기획경영·중소서민금융 부원장보를 역임, 감독과 정책, 보안 현장을 아우른 전문가로 평가받는다.

IT조선은 금융보안의 중요성이 커지고 있는 상황에서 금융보안원을 이끌고 있는 박상원 원장을 만나 금융권 보안의 문제점과 규제 완화 흐름 속에서 병행돼야 할 강화 전략을 들어봤다.

다음은 박 원장과의 일문일답.

ㅡ 최근 금융권 보안 사고가 잇따라 발생한 가운데 금융보안원은 SGI서울보증 랜섬웨어 사태 당시, 해커와 협상없이 복호화에 성공해 주목받았다. 어떻게 가능했나.

“일반적으로 랜섬웨어에 걸리면 해커 조건을 수용하지 않는 상태로는 복호화 자체가 어렵다. 우리는 랜섬웨어를 분석해 암호화 방식의 결함을 찾아냈다. 그 결함을 이용해 데이터 복호화에 직접 성공했고, 이는 서버 복구까지 이어졌다.

단순히 기술만으로 해결된 건 아니다. 침해사고 대응 경험과 디지털포렌식 역량이 같이 작동했기 때문에 가능했다고 본다. 이는 세계적으로도 유례를 찾기 힘든 이례적인 성과다.”

ㅡ 이런 실전 대응 능력을 키우기 위해선 조직의 인재 관리가 중요할 듯하다. 

 “물론이다. 침해 대응은 인력의 전문성(역량)이 중요하다. 공격 패턴을 읽어내고, 빠르게 가설을 세우고, 증거를 찾아내야 하기 때문이다. 금융보안원은 해킹대회 입상자 우대 채용에서부터 국내외 해킹대회 참여나 화이트해커 양성, 전담조직 확대, 글로벌 훈련 참여를 통해 실전형 인재를 확보하고 있다. 실전 대응이 가능하도록 교육과 훈련을 반복적으로 진행하고 있다.”

ㅡ 최근 협력사·소프트웨어를 통한 공급망 공격이 큰 위협으로 떠오르고 있다. 어떤 대책이 준비돼 있나.

 “금융의 디지털전환 가속화로 금융회사의 오픈소스 등 외부 소프트웨어(S/W)나 오픈소스 취약점을 통해 공격이 들어오는 상황이 계속 발생하고 있다. 금융보안원은 공격자의 최고 진입점 또는 피해 확산의 요인이 되는 S/W 공급망 취약점을 통합 관리하고 선제적으로 대응하도록 ‘금융권 S/W 공급망 보안 플랫폼’을 구축 중이다. 올해 시범 운영을 거쳐 내년부터 본격적으로 운영한다.

취약점을 찾아내 패치하고, 실제 운영 환경에 반영하는 단계까지 통합 관리해 금융사가 놓치기 쉬운 공백을 줄이려고 한다. SBOM(S/W 구성하는 세부 내용에 대한 명세서)을 관리해 금융권 대응 역량도 강화할 계획이다. 여기에 버그바운티(취약점을 사전에 찾는 사람에게 포상)를 결합해 취약점을 선제적으로 찾고, 금융회사·개발사·금융보안원의 공동 대응 체계를 만들고자 한다.”

ㅡ 랜섬웨어와 디도스(DDos) 공격 등에 대응하기 위해 24시간 관제 시스템을 운영하고 있다. 관제 실효성을 높이려는 방법도 필요한 때인 것 같다.

“관제는 단순 보고에서 벗어나 위험도가 큰 이벤트를 빠르게 선별·분석하는 방향으로 진화하고 있다. 금융사가 알지 못했던 외부 공격 경로를 미리 점검하는 금융권 공격표면관리(ASM) 서비스, 악성 파일 검증 범위 확대, AI를 기반으로 고위험 이벤트 자동 분류·분석 등으로 효율을 개선하고 있다. 단순 알림이 아니라 ‘사고 가능성이 높은 것부터 우선적으로 대응하는 방식’으로 고도화되는 게 중요하다.”

ㅡ 국제 공조도 중요해졌다. 국제 협력에 있어 금보원은 어떤 지원을 하고 있나.

“사이버 공격은 국경 개념이 없기 때문에 국내 정보만으론 대응에 한계가 있다. 금융보안원은 NATO 산하 기관 훈련에 매년 참여하고 글로벌 해킹대회, 미국·일본 금융 ISAC 등과 협력해 최신 공격 정보를 빠르게 확보하고 공유하고 있다. 올해 세계 최고 권위의 해킹방어대회인 데프콘에서 금융보안원 화이트해커들이 세계 연합팀의 일원으로 최종 3위, 10위에 오르기도 했다. 금보원은 위협인텔리전스팀 신설 등을 통해 위협정보 수집 기능도 강화하고 있다.”

ㅡ SGI보증보험 사례와는 다르게 롯데카드 해킹 사고에 있어서는 인증체계에 문제가 있는 것 아니냐는 비판이 많았다. 

“ISMS-P는 기업이 정보보호와 개인정보보호 체계를 제대로 운영하느냐를 보는 절차 중심의 인증이다. 인증을 통과하는 게 목적이 아니라, 인증 이후에도 계속 성능이 유지되도록 강화 해야 한다고 본다. 향후 범부처 종합대책 및 인증제도 주관 부처인 과학기술정보통신부와 개인정보보호위원회의 인증제도 개선 계획에 따라 심사를 강화할 계획이다. 인증의 실효성을 높이기 위해 현장 모의해킹을 강화하고, 금융 특화 기준 적용, 인증 이후 사후 관리까지 강화하는 방향으로 추진하려고 한다.”

ㅡ 금융권 전반에 AI가 확산하면서 보안의 방향성도 달라지고 있다. AI 확산이 금융 보안에 어떤 변화를 가져오고 있고, 한국 금융이 가진 취약점은 무엇인가.

“AI를 적용하면 시스템 복잡도가 커지고, 결국 망분리 완화가 불가피해진다. 문제는 AI 모델 자체가 공격 대상이 될 수 있다는 점이다. 데이터 변조, 모델 오작동 유도, 내부 변수 변형 등 기존에 없던 위협이 발생하는 만큼, 금융사가 스스로 보안 환경을 설계하고 운영할 능력을 갖춰야 한다고 본다. 시스템 구성뿐 아니라 데이터 유출, 오작동 유도 등 AI 모델 자체에 대한 보안 위협에도 대응할 수 있어야 한다.”

ㅡ 망분리 완화를 두고 여전히 논쟁이다. 규제완화가 곧 보안약화로 이어진다는 주장도 있다.

“망분리 자체는 분명 지난 10년간 방패 역할을 했다. 하지만 망분리 규제로 금융회사는 망분리에만 보안을 의존하게 됐고, 보안 투자가 소홀해졌다. AI·클라우드 환경에선 외부 연계가 필수이기 때문에, 망만 나눈다고 해결되지 않는 시점이 됐다. 완화가 보안 약화로 직결되느냐는 결국 금융사가 자체 역량을 갖추느냐에 달려 있다고 본다. 그간 관행적으로 수행하던 보안관리 전반을 재검토해야 한다. 금융보안원은 기업이 자율 보안 체계 내재화를 적극 지원할 계획이다.”

ㅡ 보안 규제를 두고 ‘혁신을 막는다’는 시각도 존재한다.

“금융보안원은 규제 기관이 아니다. 다만 금융회사가 정해진 규제만 준수하는 소극적 자세에서 벗어나 자율 보안대책을 마련하고 이를 개선하는 선순환 구조를 만들고자하는 것이 목표다. 예전처럼 세세한 기준을 나열하는 방식이 아니라, 목표 중심의 자율 보안으로 전환되고 있다. 보안 규제는 혁신을 막기 위한 게 아니라, 신뢰라는 안전 영역 안에서 혁신이 지속되게 만드는 장치라고 본다.” 

ㅡ 스테이블코인·CBDC 등 디지털자산 보안은 어떻게 준비하고 있나.

“디지털자산은 기존 금융과 기능은 같아도 기술 기반 구조가 다르기 때문에 스마트컨트랙트, 지갑, 블록체인 등 디지털자산에 특화된 보안이 추가로 요구된다. 금융보안원은 디지털자산 전담조직을 만들고, 스테이블코인 등 디지털자산 상태계 보안성 확보를 위한 연구를 지속적으로 진행 중이다. 가상자산 2단계 입법에 맞춰 보안 사항에 대해 적극적으로 역할을 다하겠다.”

ㅡ 보안 적용된 AI 기술 가운데 금융보안원의  보이스피싱 예방 플랫폼 ‘ASAP’가 있다. 어떤 기술이 핵심인가.

“보이스피싱을 정확하게 분석하려면 신뢰도 높은 학습 데이터가 필요하다. 그런데 현재로선 금융·통신·수사기관 데이터를 한곳에 모으는 게 사실상 불가능하다. 금융보안원은 이 문제를 연합학습 방식으로 풀었다.

데이터를 중앙 서버에 모으지 않아도 학습이 가능하도록 설계해 개인정보 유출 위험 없이 대규모 학습이 가능해졌다. 이 데이터 기반이 확보돼야 AI 분석도 실효성이 생긴다. ASAP 모델에 AI 연합학습 기술을 통해 고도화된 이상금융거래탐지 모델을 제공할 예정이다”

ㅡ 원장 임기 동안 반드시 달성해야 할 목표는 무엇인가.

“앞으로의 보안은 공격자보다 항상 한발 앞서나가는 것이 중요하다. 금융의 본질은 신뢰다. 금융보안원은 금융회사가 디지털 혁신 과정에서 신뢰를 보장할 수 있도록 테크-퍼스트 전략을 강화할 생각이다. 화이트해커 양성과 위협 인텔리전스 고도화를 추진하여 세계 최고의 금융보안 전문가 조직으로서 지위를 공고히 할 계획이다. 금융사의 자율보안과 AI·블록체인 등 신기술 보안 지원도 강화해 나가겠다. 이를 기반으로 금융보안원의 미래 10년을 준비하겠다.”

☞박상원 금융보안원장은

1970년생으로 연세대 경제학과를 졸업하고 미국 아이오와대 MBA를 취득한 뒤 1991년 한국은행에서 경력을 시작했다. 2000년부터 금융감독원에서 은행감독국, 신용감독국, 기업금융개선국, 국제협력국, 금융그룹감독실, 은행리스크업무실 등을 거쳤다. 이후 기획조정국 부국장, 기획경영 부원장보, 중소서민금융 부원장보 등을 역임했다. 올해 1월 금융보안원 5대 원장으로 취임했다.

한재희 기자
onej@chosunbiz.com