<참석자>
■사회
- 신상철 정보통신산업진흥원 부설 RFID/USN 센터장
■주제발표
- 김인석 고려대학교 정보보호대학원 교수
■패널
- 서춘석 신한은행 IT개발본부장
- 김홍선 안철수연구소 대표
- 정석화 경찰청 사이버테러대응센터 실장
지난 25일 저녁 서울 역삼동 삼정호텔에서 열린 ‘정보통신 미래를 생각하는 모임’의 월례발표 주제는 ‘금융사고 조치 후 근본 대책은’이다.
현대캐피탈·리딩투자증권 해킹, 농협 전산망 마비 등 굵직한 사고와 연관된 상반기 최고의 이슈인 만큼 열띤 토론이 오갔다. 참석자들은 “최근 일련의 사고들로 보안이 미비하면 조직의 근간이 흔들릴 수 있다는 인식 전환이 필요하다”고 입을 모았다.
특히 참석자들은 “이번 사태를 계기로 기업의 최고경영자(CEO)가 보안을 비용대비효과(ROI) 관점의 효율성만 따질 것이 아니라 중요한 경영 인프라로 관심을 갖고 챙기는 자세가 필요하다”고 강조했다. 같은 사건의 재발을 막기 위해 금융보안의 총체적 재점검이 필요한 동시에 보안 전문 인력 양성, IT예산대비 보안 예산 10% 확보 등 중장기적인 계획이 필요하다는 얘기도 오갔다.
또 참석자들은 농협사태에서 드러났듯이 내부 관리에 대한 철저한 보완책이 마련돼야 하며 이를 위해서는 최고보안책임자인 CSO의 전문성과 독립성이 갖춰져야 한다고 주장했다. 금융사고 재발을 막기 위해서는 업무의 효율을 앞세워 보안 솔루션, 관리 체계, 취약성 진단 등을 등한시해온 금융업계의 관행을 근절해야 한다는 지적이다.
나아가 사이버테러의 대상을 금융권으로 한정짓는 것이 아니라 전력, 철도, 의료, 원자력 등 기간시설로 확대한다면 엄청난 피해가 유발될 수 있다는 점에도 의견이 모였다. 정태명 성균관대학교 교수는 “사회적인 대혼란을 불러일으킬 수 있는 사이버테러에 대해 국내 주요 기반시설을 보호해야 한다”며 “정부에서 특단의 조치를 세워 보안의 기틀을 세우고 국가차원의 역할, 사회적인 역할, 개인의 역할을 다시 한번 되새길 필요가 있다”고 말했다.
이날 주제발표자로 나선 김인석 고려대학교 정보보호대학원 교수는 “국내 금융권은 첨단 IT의 집합소라 할 정도로 많은 솔루션이 구축됐다”며 “하지만 빠른 서비스와 효율을 중시한 나머지 보안에 상대적으로 소홀했고, 최근 일련의 금융보안 사고가 터지며 금융보안 전반에 대한 재점검이 필요하다는 자성의 목소리가 높아지고 있다. 금융 기관들이 체질 개선을 통해 보안 체계를 다시 성립하는 등 뼈를 깎는 노력이 필요하다”고 강조했다.
■주제발표
“전자금융감독규정에 따라 보안의 기본부터 다시 세워야한다”
김인석 고려대학교 정보보호대학원 교수
최근 금융권에서 일련의 보안 사고가 발생한 원인은 전자금융거래법 등 관련 법규에서 정한 사고예방 대책을 소홀히 취급했기 때문이다.
현대캐피탈 사고를 보면 업무 성격상 불필요한 아이디, 패스워드를 부여했으며 퇴사한 담당직원 아이디, 패스워드를 미삭제해 왔다. 이에 따라 다수의 해킹침입 시도에도 불구하고 해킹패턴 분석 및 해당 IP 접속차단 예방조치 미실시 등 미숙한 관리가 불러온 예견된 사고다.
농협 전산망 마비 사태 역시 아웃소싱 업무가 통제되지 않아 발생한 사고로 핵심업무 개발, 정보보호 인력 등은 가급적 자체 인력으로 수행하는 등 중요 보안업무에 대한 통제가 강화되어야 한다.
전자금융감독규정시행세칙 제11조 해킹방지대책 2항을 보면 가상사설망(VPN) 등을 통해 외부에서 내부 서버로 접근하는 것을 원칙적으로 차단하도록 되어 있다.
업무상 불가피한 경우 물리적 접근통제 방안을 강구하고 수행업무를 기록·보관하며 내부 직원이 내부 서버에 접속하는 경우에도 물리적 접근 통제를 강화, 수행업무를 기록·보관해야 한다.
전자금융감독규정시행세칙 제13조 홈페이지 등 공개용 서버 관리대책에 따라 공개용 서버를 내부망과 분리해 위험구간(DMZ) 내에 설치하고 개인정보 및 금융정보가 보관된 DB는 내부망에 설치하는 등 ‘홈페이지 등 공개용 서버 관리대책’을 강화해야 한다. 또 전자금융감독규정시행세칙 제9조에 따라 IP, 맥 어드레스 등 접속자 기록 및 거래일시 등의 거래정보를 철저히 확인하고 누락사항이 발생하지 않도록 접속기록 관리를 점검해야 한다.
이번 금융사고 이후 금융위원회와 금융감독원은 ‘금융회사 IT 보안강화 테스크포스(TF)’를 구성했다. TF에서는 검찰에서 현재 수사가 진행 중이며 수사결과를 반영해 내달 말까지 대책을 마련할 것을 지시받았다. 금융당국은 향후 금융 분야 IT보안의 중요성이 더욱 커질 것으로 인식해 지금까지와 달리 민간기업의 IT 보안 분야 최고 전문가들을 대거 참여시켜 민관합동 TF를 구성했다. TF에서 금융회사 IT 보안실태를 정밀 점검함으로써 고객피해를 방지할 수 있는 근본적인 대책을 마련할 예정이다.
금융보안이 바로 서기 위해서는 기본부터 다시 세워야 한다. 시스템 보안, 내부통제 등 전 영역에 걸쳐 보안을 확인하는 동시에 예산이나 인력 배정을 포함한 총체적인 점검이 필요하다.
■ 패널발표
◇서춘석 신한은행 IT개발본부장
보안 인력을 강화하긴 해야겠지만 보안 전문가들의 경력관리, 승진 등의 문제도 금융기관으로서는 간과할 수 없다. IT팀의 개발요원들은 업무를 개발했기 때문에 지점 등 실무점에 가서도 업무를 수행할 수 있지만 보안은 실무 업무를 맡길 수도 없고 승진 등에 있어 뾰족한 방안이 없다.
보안의 중요성은 이해하지만 현업과의 효율적인 조화도 무시할 수 없는 것이 현실이다. 보안을 따로 전문가집단으로 양성시켜야 하는지, 승진 및 직위의 문제 등도 해결할 수 있는 총체적인 정부, 업계, 금융당국 간의 합의가 있어야 할 것이다.
또 전체 예산의 5%가량을 보안에 투자하라는 부분은 이해하지만 인력도 5%를 투자하라는 것은 현실적으로 무리다. 예를 들어 IT 개발인력 500명 중에 25명을 보안인력으로 배치할 수는 없다. 인력의 숫자가 중요한 것이 아니라 반드시 투자해야 하는 부분에 적재적소 인력을 배치하는 것이 보다 중요하다.
정부에서 중점 이행사항들을 표시해 보안 가이드라인을 내려준다면 가이드라인에 맞춰 인력 및 솔루션 등을 배치, 운영할 수 있을 것이다. 교육적인 부분도 필요하다. 정부에서 금융IT 보안 교육을 받을 수 있는 교육과정을 만들어 의무교육화하고 이수하게 한다면 상당한 효과를 얻을 것이다. 정부에서 금융업계의 애로점을 파악, 현실성 있는 접근을 추진했으면 한다.
◇김홍선 안철수연구소 대표
보안 인력에 대한 인식이 바뀌지 않으면 보안 사고는 계속 일어날 수밖에 없다. CEO들이 보안에 대한 중요성을 깨닫고 보안 조직에 힘을 실어줘야 한다.
많은 보안 담당자들이 보안 시스템을 강화하기 위해 고생하고 있지만 윗선에서 비용 문제를 이유로 우선순위 밖으로 밀어내고 있다, 특히 금융사들은 대부분 전산망을 이용해 사업을 하기 때문에 IT·보안 체계가 바로 잡히지 않으면 한 순간에 흔들릴 수 있다. 이번 농협사태에서 그런 교훈을 얻었다. 보안을 단순히 예방 차원이 아닌 기업, 기관의 리스크 관리 차원에서 재조명해야 한다.
실제로 지난 3·3 DDoS 공격 때 가장 많은 공격을 받았던 KB국민은행의 경우, 침해사고대응반을 가동하고 네트워크 모니터링을 수시로 하는 등의 노력을 통해 피해를 최소화할 수 있었다. KB국민은행의 보안조직은 윗선에서 보안에 대한 투자를 아끼지 않고 보안조직에 힘을 실어줬다.
우리는 현장에 있기 때문에 악성코드, 해킹 등이 얼마나 위험수준에 와 있는지 피부로 느끼고 있다. 하지만 아무리 보안위험이 크다고 경고해도 귀 기울여 듣지 않는다. 위험은 갈수록 복합적, 국제적, 범죄적인 양상으로 진화해가고 있다. 특히 돈이 연관되어 있기 때문에 좀 더 심도있는 분석과 대응책이 시급하다.
◇정석화 경찰청 사이버테러대응센터 실장
과거 저축은행 해킹사고, 농협 등 일련의 금융사고 이면에는 악성코드라는 원인이 존재했다. 소위 역접속, 리버스커넥션(Reverse Connection)이라는 공격이다.
역접속은 악성코드가 심어져서 실행되면 바깥쪽으로 세션을 내보내는 것을 말한다. 대부분의 보안시스템은 외부로부터의 공격을 방어하는 것이 일반적이기 때문에 바깥으로 나가는 트래픽은 정상적인 거라 믿고 방치한다. 농협, 옥션 등 모두 내부에서 나가는 비정상적 트래픽을 제대로 감시했다면 막을 수 있었다.
내부 금융망에 아무리 튼튼한 보안시스템 있어도 역접속을 차단하지 않는다면 쓸모없게 된다. 이와 같은 일련의 사고 원인인 역접속을 탐지, 차단하는 기술들이 일반화되지 않아 사고가 계속 발생한다. 악성코드 제작을 원천적으로 막을 수도 없고 유포 역시 막기 어렵다. 그렇다면 대안은 꾸준한 탐지 및 차단이다. 특히 시스템에서 외부로 나가는 역접속을 차단할 수 있는 방안을 만들어야 한다.
이번 금융권에서 발생한 일련의 사건들은 초고수의 해커가 일으킨 사건이라기보다 보안불감증이 그 첫 번째 원인이다. 결국 보안솔루션이나 기술력보다 사람에 의한 보안관리가 가장 중요하다.
장윤정기자 linda@etnews.co.kr