금융보안원(원장 김영린)이 4월 10일 드디어 출범한다. 핀테크 열풍 속에서 전자금융 보안규제가 자율화된 까닭에 금보원이 처리해야 할 업무가 산적해 있다.
24일 금융보안원설립사무국과 금융당국은 금융보안원이 이달 말 직원 총회를 거쳐 다음 달 10일 공식 출범된다고 밝혔다. 금융당국이 지난해 2월 연이은 전산보안 사고에 대응하기 위해 컨트롤타워 격인 금융보안전담기구 신설을 발표한 후 1년 2개월 만이다. 금감원과 금융보안원이 금융사와 접점에서 사고를 접수하면 총괄 컨트롤타워 금융위와 함께 대응하는 시스템이다.
금융보안원은 금융보안연구원과 금융결제원·코스콤 정보공유분석센터(ISAC)를 통합한 기구다. 금융보안원은 1월 출범 예정이었지만 금융결제원과 코스콤 직원들이 원장 선임과정 투명성 등에 반발하며 이직을 철회해 지연됐다.
◇핀테크·전자금융 보안 총괄
금융보안원은 출범과 동시에 산적한 핀테크와 전자금융 보안문제를 해결해야 하는 중책을 맡았다. 금융위원회는 IT금융 규제의 큰 틀을 자율적 사후 책임 중심으로 전환했다. 금융사 스스로 정보기술(IT) 보안강화를 위한 적극적인 노력을 주문했다. 하지만 수십 년째 사전 규제에 익숙해진 금융기업은 방향을 잡지 못하고 우왕좌왕하는 모양새다.
김승주 고려대 정보보호대학원 교수는 “금보원은 보안관제 기술력과 더불어 현재 전혀 확보되지 않은 평가 기술력을 갖춰야 한다”며 “국제공통평가기준(CC)과 PCI데이터 보안표준(PCI-DSS) 등 국제표준 수용에 노력해야 한다”고 말했다. 김 교수는 “금융권에 도입되는 기술이나 제품은 타임투마켓이 극히 짧거나 프로그램 크기가 너무 작아 대부분 단가가 높지 않다”며 “이런 제품에 국제 인증을 받는 것보다는 금보원이 평가·인증하는 것도 방법”이라고 덧붙였다.
◇정보공유분석 능력 키워야
금융기업은 금융보안원이 제대로 된 ISAC 역할을 수행하기를 기대한다. 금결원과 코스콤은 2002년 12월 정보통신기반보호법에 기반을 두고 금융ISAC을 설립했다. 은행은 금결원이, 증권은 코스콤이 전담해 사이버 공격 관련 정보를 수집하고 분석해 통지하는 역할을 맡았다. 하지만 급증하는 전자금융사고에도 ISAC이 제 역할을 못한다는 지적이 높았다. 기존 ISAC을 금융보안원에 통합하기로 한 데는 이 같은 상황이 크게 작용했다.
미국은 금융사에서 유출된 개인정보를 정보공유분석센터로 보내면 이를 다시 회원 금융사로 배포해 부정거래를 즉시 차단하는 시스템을 가동한다. 2012년 9월에 미국 BoA와 JP모건 등 금융사에 대규모 분산서비스거부(DDoS) 공격이 발생하자 정보공유센터가 신속한 정보공유로 추가 피해를 막았다.
김 교수는 “금보원은 법적으로 금융사고나 사이버 테러 조사권한이 없어 타 기관과 정보공유체계를 얼마나 잘 구성하는지가 관건”이라며 “조사보다 정보를 빨리 공유해서 능동적으로 스스로 대체하게 도와야 한다”고 설명했다.
◇직원 화합도 신경 써야
금융보안원은 설립 전부터 직원 간 불협화음에 출범에 어려움을 겪었다. 3개 조직이 통합되면서 유기적인 결합이 최대 화두다. 금융결제원 직원 66명, 금융보안연구원 54명, 코스콤 39명 등으로 구성됐다. ISAC 업무를 담당하는 인력이 105명에 달한다. 폐쇄적인 집단 이기주의를 버리지 않으면 조직 목표를 달성하기 어렵다.
업계 관계자는 “금보원은 태생부터 문제를 속출하며 한계를 드러냈다”면서 “회원사에서 예산을 받는 데다 법적 설립 근거도 없고 원장임기가 3분의 1로 줄며 통합 시너지를 낼 수 있을지 의문”이라고 지적했다.
김인순기자 insoon@etnews.com