앞으로 금융기관은 보안시스템을 구축하지 않은 무선네트워크를 이용할 수 없게 된다.
31일 관계부처에 따르면, 금융위원회와 금융감독원은 이르면 다음달 금융기관이 무선 네트워크를 이용할 경우 해킹시도를 차단할 수 있는 시스템을 의무적으로 도입토록 하는 방안이 포함된 ‘금융 정보보호 종합대책’을 발표할 예정이다.
이에 따라 무선네트워크를 사용하는 모든 은행과 증권·보험사들은 무선침입방지시스템(WIPS)과 인증서버, 불법공유기나 가짜 액세스포인트(AP)를 탐지할 수 있는 시스템 등을 의무적으로 구축해야 한다.
무선 네트워크를 안전하게 사용하기 위해서는 우선 데이터를 암호화해야 하고 승인된 사람들만 정보를 주고받을 수 있도록 해야 하기 때문이다.
또, 무선랜을 통해 전송하는 데이터도 WPA2 수준으로 강도 높은 암호화를 해야 할 것으로 보인다. WPA2는 해독하려면 몇 만년이 걸릴 정도로 현재 최고 수준의 무선랜 보안 기법이다.
현재 금융위원회와 금융감독원은 시스템 도입과 관련해 실제적으로 적용할 수 있는 최종 수위를 검토 중이다.
무선 네트워크는 설치가 간편하고 이용이 편리하지만 공중에서 데이터가 오가기 때문에 유선에 비해 상대적으로 쉽게 정보를 채집할 수 있다. 노트북과 무선랜카드, 인터넷에서 쉽게 찾을 수 있는 해킹툴 등만 있으면 데이터 전송 구간에서 손쉽게 해킹을 할 수 있다.
실제로 지난 5월 해커가 서울 명동 하나은행 허브센터와 외환은행의 무선상에서 흘러나오는 데이터를 채집해 고객계좌 정보를 가로채려 했던 사건이 발생해 충격을 줬다. 현재 증권사 객장과 보험사 지점 등에서는 대부분 무선랜을 통해 고객 정보를 주고받고 있으며, 은행에서는 사무용으로 무선랜을 사용해 왔다.
최준우 금융위원회 팀장은 “종합대책을 발표하기에 앞서 은행과 증권사 등을 일일이 현장 방문해 실태를 파악해 왔다”며 “정확한 시점은 밝힐 수 없지만 조만간 대책을 발표하고 추가적인 정보보호 강화 대책을 지속적으로 내놓을 것”이라고 말했다.
보안 업계는 이번 대책이 발효될 경우 무선 네트워크 관련 보안 부문만 700억원 정도의 시장이 추가로 열릴 것으로 기대했다.
이번 종합대책은 일부 은행에 적용하는 것이 아닌 금융권 전반에 대해 공통적으로 적용할 대책인만큼 소규모 은행과 지방은행까지 영향력이 미칠 것이기 때문이다. 그러나 보안 강화 대책이 자칫 무선을 사용하지 못하도록 강제하는 분위기로 흐를 수 있다는 우려 섞인 목소리가 나오기도 했다.
문보경기자 okmun@