3·20 전산망 장애, 카드3사 고객정보 유출, 판매시점관리시스템(POS) 개인정보 유출 등 잇따른 보안사고에 대한민국 금융기업과 서비스에 대한 국민의 신뢰가 바닥으로 추락했다.
금융보안은 누구도 ‘100%’를 장담할 수 없다. 완벽한 방어 기술도 있을 수 없다. 늘 고민하고 점검하고 투자하고 대책을 마련해야할 분야다.
전문가들은 우리나라 금융산업계가 변화하는 패러다임에 맞춰 인식과 조직의 혁신을 이뤄내야할 때라고 주장한다. 금융당국의 눈만 피한다고 될 문제도 아니고, 임시방편으로 고객의 눈을 가린다면 더 큰 화(禍)를 부를 수 있다.
지속가능한 성장을 목표로 고객 신뢰를 회복하는 것이 급선무다.
다시 태어나는 각오로 혼신의 힘을 다하고 있는 금융사와 솔루션 기업들의 보안 대책을 점검했다.
금융보안의 중요성은 아무리 강조해도 지나치지 않는다. 금융서비스에 대한 사이버 공격은 날로 지능화·대형화되고 있다. 개별 회사를 겨냥한 것이 아니라 여러 금융회사를 동시 다발적으로 겨냥하고 있다. 고객 정보와 금융 거래 정보 유출은 나아가 국가 근간을 뒤흔들 엄중한 사태가 될 수도 있는 경각심을 늦춰서는 안 된다.
시장조사기관 IDC에 따르면 보안사고의 60% 이상이 내부자에 의해 발생하는 것으로 나타났다. 또 유출사고의 중 사용자 실수(35%)와 시스템 오류(29%)가 가장 많았고 임직원의 기밀데이터 취급부주의, 시스템 관리 부재 순이었다. 그만큼 체계적인 관리가 필요하다는 의미로 풀이된다.
정부는 일련의 금융보안 사고를 계기로 정보통신기술(ICT)에 기초한 신용사회 기반을 재구축하는데 역량을 집중하고 있다. 금융 분야 개인정보보호 및 사이버 안전을 획기적으로 제고한다는 목표도 설정했다. IT기술이 갖는 양면성을 어떻게 관리하느냐가 관건이다.
미국이나 영국 등은 범정부 차원에서 강력한 보안 전략을 추진 중이다. 별도의 사고 대응 계획을 수립하고 정보보호최고책임자(CISO) 임명으로 관리 책임도 높혔다. 프랑스는 데이터 유출 복구 컨설턴트를 채용하는 등 보안 사고 방지에 남다른 노력을 기울이고 있다.
고객정보 유출로 인한 피해는 상상을 초월한다. 개인금융정보를 악용해 공인인증서를 타인이 재발급 받을 수도 있고 신용카드 복제(스키밍)도 가능하다. ID와 패스워드 유출은 유료 콘텐츠 도용, 게임 아이템 해킹으로 악용되고 있으며 개인 기본정보는 인터넷 회원가입, 기존 회원 자격 도용, 통신영업점과 텔레마케터(TM)의 마케팅 자료로 활용된다.
그야말로 대재앙이 될 수 있다.
우리 국민의 절반 이상은 오프라인이 아닌 온라인을 통해 거래한다. ATM에서 인터넷 뱅킹으로, 스마트폰 뱅킹으로 금융 업무 처리방식이 바뀌고 있다. 비(非)대면 채널 사용량이 늘어난다는 말이다.
바꾸어 말하면 보안 위협이 날로 증가한다고 볼 수 있다. 개인정보의 중간 탈취나 각종 위변조 사고, 비대면 채널 해킹 등을 통한 금융범죄 위험이 시시각각 일어난다. 금융IT 환경이 급변한 만큼 전자금융거래의 안전성을 확보하는 게 금융사의 최우선 과제가 된 것이다.
그동안 국내 금융사는 보안의 중요성에 대해 간과했던 것이 사실이다. 최근 일련의 보안 사고가 터지면서 자성의 목소리가 높다. 한발 더 나아가 다양한 보안 대책을 수립하며 체질개선에 힘을 쏟고 있다. IT강국에 걸 맞는 금융 보안 철옹성을 구축하겠다는 각오로 새 전략을 수립하고 속속 시행에 나섰다.
우선 보안 사고에 대한 처벌이 대폭 강화되면서 망 분리를 비롯, 개인정보 유출을 방지하기 위한 집중도 높은 대책을 쏟아내고 있다. 제3 백업센터 구축과 보안조직 권한 강화, 취약점 점검 제도를 도입하는 등 전산에서 조직에 이르기까지 새로운 보안관리 체계를 갖추는데 주력하고 있다.
가장 심각한 보안 사각지대로 불리는 전자금융 기반시설의 보안을 올해부터 대폭 강화한다. 이를 위해 본점과 영업점 망 분리를 추진 중이고, 금융전산시설의 내부통제를 강화한 가이드라인을 마련했다. 전산시스템 접근 시 별도 추가인증제를 도입하고 보안규정 위반 시 제재를 최고 등급으로 격상시켰다.
전자금융사기 예방서비스도 전면적으로 시행한다. 금융사기범이 고객정보를 탈취해 고객명의 공인인증서를 발급받아 금융자산을 빼앗는 사기수법을 차단하기 위한 시스템이다.
이외에도 최고정보책임자(CIO)와 별도로 정보보호최고책임자(CISO) 제도를 도입하는 등 인력과 조직, 시스템을 갖추는 데 집중하고 있다.
<금융사들의 주요 보안 대책>
길재식기자 osolgil@etnews.com
