[동아 인포섹 2016-정보보호 콘퍼런스]금융보안 패러다임 전환 어떻게
23일 ‘동아 인포섹 2016―정보보호 콘퍼런스’에서 금융사 정보보호 담당자 등 참석자들이 금융 보안에 관한 강연을 듣고 있다. 변영욱 기자 cut@donga.com
“핀테크와 보안은 붙어 다니는 말입니다. 빠른 서비스를 자랑하다 보안에 구멍이 뚫린 인천공항의 사례에서 보듯 서비스가 좋아도 보안이 취약하면 핀테크는 후퇴할 수 있습니다.”(최승천 금융보안원 보안연구부 부장)
여기에 ‘북한 리스크’도 무시할 수 없는 위협 요인 중 하나다. 2009년 7월 디도스 공격, 2013년 3월 방송국, 은행 전산망 공격 등 과거 북한은 핵 실험과 한두 달의 시차를 두고 사이버 공격을 가해 왔다. 김 국장은 “연초 북한 미사일 발사 이후 금융 회사들이 24시간 대응 체제를 유지하고 있다”고 전했다.
임 교수는 위협이 증가하고 있는 만큼 “몇 가지 규칙에 근거하는 사전 규제 중심의 보안시스템이 아니라 위협을 감지하고 이를 사후에 대응할 수 있는 ‘신(新)보안 체계’가 필요하다”고 강조했다. 구체적으로는 생체인증을 활용해 보안성을 강화하고 이상 금융 거래 탐지 시스템(FDS)도 더 고도화할 필요가 있다는 지적이다. 또 인터넷 전문 은행의 경우에도 키보드 보안, 백신뿐만 아니라 자필 서명 인식과 영상통화 등 다양한 보안 수단을 갖춰야 한다고 강조했다.
김 선임국장도 “금융 당국도 금융 회사들이 자율적인 보안 체계를 갖출 수 있도록 적극 지원하는 방식으로 보안 규제의 패러다임을 바꾸고 있다”며 “금융 회사들이 보안에 투자를 확대하고, 내부 통제를 강화하도록 계속 유도해 나갈 것”이라고 밝혔다. 올해 금감원은 금융 회사의 IT 실태 평가를 위한 계량화 지표를 만드는 한편 전산망 업그레이드와 같은 대규모 IT사업을 할 때 보안 사고를 방지하기 위한 체크리스트도 마련할 예정이다.
금융 당국뿐만 아니라 기업들도 변화에 적극 나서야 한다는 조언도 나왔다. 최승천 부장은 “조사 결과 국민의 52.2%가 핀테크를 이용하겠다고 밝혔지만 핀테크를 이용하지 않겠다는 이들의 절반 정도는 보안에 대한 우려를 이유로 꼽았다”며 “핀테크를 다루는 사람은 보안을 꼭 염두에 둬야 한다”고 강조했다. 그는 이어 “특히 중소 금융사의 보안 대책이 시급하다”며 “외부 컨설팅 등을 통해서라도 보안 체계 강화에 나서야 한다”고 말했다.
강력한 보안 서비스는 금융사들이 경쟁에서 우위를 차지하는 ‘무기’가 될 수도 있다는 지적도 나왔다. 임 교수는 “글로벌 기업들의 보안회사 인수가 적지 않다”며 “스타트업들과 금융 보안을 위한 다양한 협업도 가능할 것”이라고 내다봤다.
장윤정 yunjung@donga.com·박희창 기자