◇ 참석자
△ 권한용 금융감독원 IT 부국장
△ 이득춘 지식정보보안산업협회장
△ 정석화 경찰청 사이버테러대응센터 실장
△ 임종인 고려대학교 정보보호대학원 교수
△ 곽창규 금융보안연구원장
△ 서춘석 신한은행 IT 개발본부장
△ 장지영 전자신문 정보통신담당 차장 (사회)
“땜질식 처방은 이젠 안된다.”
전자신문이 26일 금융보안포럼과 마련한 ‘금융보안 이대로 안된다’ 긴급 좌담회에 참여한 전문가들은 현대캐피탈 해킹, 농협 전산장애 등 사상초유의 금융보안 사고를 반면교사로 삼아야 한다고 강조했다. 임시방편식 보안 대책으론 더 이상 ‘금융대란’의 재발을 막을 수 없을 것이라고 입을 모았다.
이날 좌담회에는 권한용 금융감독원 IT부국장, 곽창규 금융보안연구원장, 이득춘 지식정보산업협회장, 정석화 경찰청 사이버테러대응센터 실장, 임종인 고려대 교수 등이 참가했다.
참석자들은 이번 사태를 계기로 금융보안의 총체적 재점검이 필요하고, 전문인력 양성에 나서야 한다고 강조했다. 또 기업의 최고경영자(CEO)가 보안을 비용대비효과(ROI) 관점의 효율성만 따질 것이 아니라 중요한 경영 인프라로 관심을 갖고 챙기는 자세가 필요하다고 강조했다. 좌담회 주요 내용을 지상중계한다.
◇사회(장지영 전자신문 정보통신담당 차장)=국내 금융권은 첨단 IT의 집합소라 할 정도로 많은 솔루션이 구축됐다. 하지만 빠른 서비스와 효율을 중시한 나머지 보안에 상대적으로 소흘했고 최근 일련의 금융보안 사고가 터지며 금융보안 전반에 대한 재점검이 필요하다는 자성의 목소리가 높아지고 있다. 이번 좌담회는 금융 보안의 안정성을 높이고 향후 보완해야 할 점은 무엇인지 고찰하고 아울러 금융보안이 국가 발전을 위한 역할이 무엇인지에 대해 진지하게 논의하는 자리가 됐으면 한다. 먼저 국내 금융보안 실태에 대해 들어보자.
◇곽창규 금융보안연구원장=우리나라는 금융IT 강국이라고 알려져있다. 인터넷뱅킹 등 비대면거래 및 IT 분야는 강하지만 보안 분야가 뒤따라가지 못하는 부분이 있다.
금융보안을 전략산업으로 육성하기 위해서는 우선 부족한 예산을 문제로 꼽을 수 있다. 전체 예산의 5%를 집행하도록 돼 있지만 대부분 3% 내외로 투자하는 것으로 알려져 보안예산 투자가 충분치 못하다. 인력 부분도 문제다. 보안최고책임자(CSO)·최고정보보호책임자(CISO)·금융보안 전담팀 등 인력 투자가 현실화돼야 한다. 또 거래 안정성, 효율을 중시해 보안을 뒷전으로 미뤄두는 보안불감증 등이 예견된 사고를 불러일으킨 원인으로 지목되고 있다.
해외의 경우 보안 예산이 약 10%까지도 집행되는 것으로 알고 있다. 전체 예산에서 5%의 보안 예산을 집행하라는 정부의 권고가 과도한 투자는 아니다. 또 우리가 5%를 정착시켜 나간다면 글로벌 표준이 될 수도 있을 것이다.
◇서춘석 신한은행 IT 개발본부장=보안의 중요성은 이해하지만 현업과의 효율적인 조화도 무시할 수 없는 것이 현실이다.
전체 예산의 5% 가량을 보안에 투자하라는 부분은 이해하지만 인력도 5%를 투자하라는 것은 현실적으로 무리다. 예를들어 IT 개발인력 500명 중에 25명을 보안인력으로 배치할 수는 없다. 인력의 숫자가 중요한 것이 아니라 반드시 투자해야 하는 부분에 적재적소 인력을 배치하는 것이 보다 중요하다. 또 정부에서 체크포인트를 표시해 보안 가이드라인을 내려준다면 가이드라인에 맞춰 인력 및 솔루션 등을 배치, 운영할 수 있을 것이다.
또 난립되어 있는 보안솔루션 업체, 관제업체, 컨설팅·모의해킹 등의 업체 중에서 정부 인증을 받은 업체들이 어디인지 정부의 권고도 필요하다. 정부에서 금융IT 보안 교육을 받을 수 있는 교육과정을 만들어 의무교육화하고 이수하게 한다면 상당한 효과를 얻을 것이다. 정부에서 현실성있는 접근을 추진했으면 한다.
◇사회=최근 3·3 DDoS 공격이나 개인정보를 노린 해커들의 공격이 심해지며 금전을 노린 사이버 공격의 수위가 높아지고 있다. 경찰의 사이버범죄 양상, 향후 대책 등은 어떠한가.
◇정석화 경찰청 사이버테러대응센터 실장=이번 현대캐피탈 해킹 사건은 옥션, 신세계 백화점 해킹 등 과거 일어났던 해킹 사고들에 대해 제대로 학습만 했어도 재발하지 않았다.
이번 사건은 초고수의 해커가 일으킨 사건은 아니다. 보안불감증이 그 첫 번째 원인이다. 결국 보안솔루션이나 기술력보다 사람에 의한 보안관리가 가장 중요하다
과거 카드 사고 발생시 카드 업계를 들여다보니 은행권보다 보안이 상당히 허술하다는 것을 발견했다. 로그인관리, 로그기록 5년 이상 보존 등의 원칙이 지켜지지 않아 수사에 어려움이 있었다. 보안 수칙을 철저히 지키고 관리만 제대로 되어도 보안 사고의 상당부분은 막을 수 있다.
또 금융기관 입장에서는 사고 발생시 서비스 재개가 최우선적인 목표지만 초동수사시 증거를 확보하는 일도 향후 수사를 위해서는 반드시 필요한 작업이다. 경험있는 사이버테러 수사 인력들이 초반부터 투입돼 서비스에 영향을 가능한 적게 미치면서 증거를 확보하는 등 체계적인 사이버테러 수사 기법을 적용하는 일도 중요하다.
◇사회=그럼 이번 사고가 왜 발생했는지, 정보보호 전문가로서 금융보안 사고의 원인과 향후 보완책은.
◇임종인 고려대학교 정보보호대학원 교수=이번 현대캐피탈·농협 등 일련의 금융보안 사고의 원인은 내부통제의 실패다. 이번 기회에 내부 관리 실패에 대한 철저한 보완책이 마련돼야 한다. 최고보안책임자인 CSO의 전문성과 독립성이 갖춰져야 한다.
또 직원들의 보안 의식 교육 역시 금융권에서 하나의 비즈니스로 연계해 금융보안 인력을 양성할 수 있는 체계를 갖춰야한다. 금융에 대한 지식과 보안에 대한 지식을 두루 갖춰 위기 발생시 뛰어난 대처능력을 발휘할 수 있는 전문인력을 양성해야한다.
◇이득춘 지식정보보안산업협회장=보안은 CEO의 의지가 가장 중요하다. CSO·CISO 등 보안책임자가 필요한 것은 사실이지만 최고 의사결정권자인 CEO가 보안에 대한 의식이 없다면 보안은 절대 완성될 수 없다. 농협 사건때 ‘CEO가 사고에 대해 보고받은 바도 없고 자신도 피해자’라고 공식 발언한 것에 비춰 볼 때 기업 CEO들의 의식이 그만큼 보안불감증에 만연돼 있다는 방증이다. 오는 9월 개인정보보호법이 발효되기 전에 보안을 위한 시스템, 관리체계가 갖춰져야 한다.
간혹 고객들에게서 ROI를 수치화해달라는 요구를 받곤한다. 보안은 단순히 ROI가 나올 수 있는 분야가 아니다. 이번 농협사건처럼 지속적인 ROI가 발생하기 보다 사고가 발생하면 기업 전체의 존폐를 위협할 정도의 위험요소가 된다는 점을 인지하고 꾸준한 관심과 시스템 도입이 뒤따라야한다. 침입방지훈련, 각종 관제 업무 등도 금융권에서 자주 수행하지만 수행하는 걸로 끝나는 게 아니라 그에 대한 솔루션 도입 등 보안조치를 완료해 사고 발생 가능성을 최소화해야한다.
◇사회=같은 사고가 발생하지 않도록 대책을 마련하는 일이 시급하다. 금융위원회·금융감독원 등 규제당국에서는 대책마련을 위해 어떤 방안을 추진 중인지.
◇권한용 금융감독원 IT 부국장=현재 금융회사 IT 보안 강화를 위해 ‘금융회사 IT 보안강화 테스크포스(TF)’를 추진 중이다. TF에서는 검찰에서 현재 수사가 진행 중이며 수사결과를 반영해 오는 6월까지 대책을 마련할 것을 지시받았다. 금융당국은 향후 금융 분야 IT보안의 중요성이 더욱 커질 것으로 인식해 지금까지와 달리 민간기업의 IT 보안 분야 최고 전문가들을 대거 참여시켜 민관합동 TF를 구성해 금융회사 IT 보안실태를 정밀 점검함으로써 고객피해를 방지할 수 있는 근본적인 대책을 마련할 예정이다.
금융회사 IT 보안 강화 TF는 정부 관계기관, 민간 IT업체, 금융결제원·코스콤 등 최고 IT전문가들로 구성됐으며 점검반이 현재 전 금융권을 대상으로 보안점검 실태를 조사 중이다. 전 권역에 대한 실태점검이 필요하다는 차원에서 여러 가지 사고 원인을 조사, 대책을 마련하고 있다. 금융위원회는 이번 금융권 전반에 대한 실태점검 후 제도개선 방안을 마련하는 과정에서 필요한 경우 국가정보원·행정안전부·방송통신위원회 등 관련부처와도 적극 협력해나갈 예정이다.
◇곽창규=금융보안포럼 등 금융보안 전문가들도 머리를 모아 금융보안 사고에 대한 대책을 마련하기 위해 내달 관련 세미나를 개최할 예정이다. 금융보안포럼에서도 각계 여러 분야에서 모인 전문가들의 의견을 수렴해 향후 대책 마련에 도움을 줄 계획이다.
◇사회=금융보안 강화를 위해 그간 정보보호 업계도 상당한 노력을 해왔다. 보안업계 차원에서 금융권과 정책 당국 등 공동으로 추진할 제언이 있다면.
◇이득춘=보안은 사고가 발생했을때만 반짝 관심이 모여서는 안된다. 364일 24시간 보안돼야 한다. 보안이 전부일수는 없지만 보안이 전체 사업에 영향을 미친다는 사실이 입증됐다. 지금과 같은 관점에서가 아니라 보안을 바라보는 시각이 변해야 한다.
또 이번 사고로 보안에 대한 책임을 질 수 있는 CISO가 있어야 하는 것은 사실이지만 그렇다고 해서 보안 사고 발생때마다 책임자가 문책을 당하고 잘린다면 누가 보안업무를 맡으려 하겠는가? 사고는 일어나지 않을 수는 없다. 다만 사고발생시 피해를 최소화하기 위해 리스크관리 체계가 잡혀 있어야 한다. 보안관리자들에게 사고발생의 모든 문제를 떠넘기는 식으로 흘러가는 것은 바람직하지 못하다.
또 농협사고가 아웃소싱 업체에 권한을 넘겨 사고가 발생했다는 것처럼 비춰져 내부 보안인력을 둔다는 핑계로 애써 키운 중소 보안업체의 인력들을 마구잡이로 빼내가는 조짐이 보인다. 이 역시 보안사고의 하나가 아니겠는가. 아웃소싱 자체가 문제가 아니라 체계를 갖추지 못한 관리가 문제다.
제대로된 보안전문 인력이 양성되기 위해서는 10여년이 걸린다. 일반 IT개발자, 전산담당자는 2~3년이면 숙련된 엔지니어가 완성되지만 우수한 보안전문인력은 최소 10년이 걸린다. 농협에서 이번 사고 발생 후 셧다운 조치가 조금 더 늦어 원장 자체가 지워졌다면 얼마나 큰 더 큰 사고로 이어졌겠는가. 위기관리에 대응능력을 갖춘 전문인력을 반드시 양성해야한다.
◇사회=금융사고 재발방지를 위해 한마디씩 의견을 말해주신다면.
◇곽창규=금융은 자본주의의 꽃이며 거래의 가장 중요한 부분이다. 금융이 마비된다는 것은 자본주의 시장 자체의 혼란을 야기시킬 수 있다. CEO들의 의식을 제정비해 영업 실적 이상으로 중요한 부분이 보안이라는 인식을 각성시켜야한다.
이번 농협사태에서 시스템 보안, 내부통제 등 전 영역에 걸쳐 보안이 큰 문제가 되는 것을 확인했다. 고의적인 사이버테러라 볼 수도 있고 내부통제 실패라고도 볼 수 있지만 예산이나 인력배정만으로 해결될 문제가 아닌 총체적인 점검이 필요하다.
지난 7·7 DDoS 대란이나 3·3 DDoS 공격을 통해 사용자들의 좀비 PC 양산 방지를 위해 보안수칙을 제대로 지켜야한다는 사용자 보안측면이 부각된 것처럼 금융보안 사고를 통해 총체적인 점검에 들어갈 수 있을 것으로 전망한다. 금융보안은 사용자보다 시스템 보안이 더 중요하긴 하지만 그래도 인터넷뱅킹 등 각종 사고발생 위험 가능성을 없애기 위해 사용자들도 이용수칙을 잘 지켜야할 것이다.
◇권한용=이번 사고로 금융권 전반이 외부의 기대보다 보안이 부실하다는 것이 입증됐다. 앞으로 감독기관의 역할에 충실하게 보안 강화를 위해 노력할 예정이다.
◇서춘석=은행 입장에서 보면 보안인력을 강화하긴 해야겠지만 보안 전문가들의 경력관리, 승진 등도 문제다. IT팀의 개발요원들은 업무를 개발했기 때문에 실무점에 가서도 업무를 수행할 수 있지만 보안은 실무업무를 맡길수도 없고 승진 등에 있어 뾰족한 방안이 없다. 보안을 따로 전문가집단으로 양성시켜야 하는지, 승진 및 직위의 문제 등도 해결할 수 있는 총체적인 정부, 업계, 금융당국 간의 합의가 있어야할 것이다.
◇이득춘=이번 사고를 겪으며 보안 사고에 일종의 내성이 생길 것이 우려된다. 사고가 나도 또 사고야? 하는 식으로 무덤덤하게 흘러가며 사고 일어나면 수습하고 또 사고 생겨도 그러려니 하는 분위기로 흘러가지 않도록 철저히 대책을 마련해야한다.
이를 위해서는 국가적인 컨트롤타워 등 민간, 학계, 업계 등에서 공동으로 논의하고 대책을 만들어야한다.
◇임종인=전문성을 갖춘 CSO가 시급하다. 임원급의 CSO가 위기관리 시스템 매니지먼트, 보안인식제고를 위한 교육, CSO의 독립성 유지 등을 수행할 수 있어야 한다. 금융감독원 등 감독기관에서도 보안에 대한 전문성을 지녀야한다. 농협에서 비밀번호를 7년 동안 바꾸지 않은 것이 보안상 얼마나 큰 문제가 될 수 있는지, 이를 지적하고 수정하게 할 수 있는 전문인력이 정부 당국에도 반드시 필요하다.
◇정석화=사회적으로 문제가 되는 보안사고들이 발생할 때 마다 우리 회사는 괜찮냐고 물어보는 수준에서 그치는 것이 아니라 사고의 유형을 세부적으로 파악하고 동일한 사고가 발생하지 않도록 철저히 원인을 파악하고 예방책을 마련해야한다.
정리=
장윤정기자 linda@etnews.co.kr