[기고]폭스바겐과 핀테크 보안

사이버 전쟁에서 국가는 물론이고 기업도 책임을 져야 한다. 기업 정보전쟁도 상대보다 더 많은 정보를 갖고 있어야 치열한 생존게임에서 살아남을 수 있기 때문에 수단과 방법을 가리지 않고 보다 많은 정보를 얻으려는 것이 현실이다. 물론 금융회사도 예외는 아니다. 크게는 금융회사 자산운용부터 작게는 고객거래에 이르기까지 책임져야 할 부분이 너무 많다. 요즘 화두가 되고 있는 핀테크에서 보안정책은 새로운 패러다임을 만들어 가야 한다. 특히 비대면 거래는 창구 거래와 달리 고객과 대면하지 않고 첫 거래를 시작해야 하기 때문에 첫 단추를 잘 끼워야 한다.

그러기에 어느 때보다 심사숙고해서 새로운 보안 프로세스를 만들고 그에 맞는 엄격한 보안정책도 동반돼야 한다. 보안정책은 핀테크 산업 부흥에 필수 요소다. 보안정책이 투자와 자산이라면 보안대책은 비용이다. 보안대책은 있고 보안정책이 없으면 팥소 없는 찐빵이나 다름없다. 정보보안은 사용자 인증뿐만 아니라 시스템, 네트워크, 내부 사용자, 고객정보 등 어느 하나 소홀이 할 문제가 아니라 다양한 보안정책을 갖고 있어야 한다.

기업 정보보안 정책이야말로 기업 존폐와 직결되는 문제라는 인식을 갖고 세밀한 계획과 그에 따른 대비를 철저히 해야 된다. 호미로 막을 것을 가래로 막는다는 속담이 있듯이 보안정책이야 말로 호미로 막을 수 있는 세세한 부분까지 사전에 찾아서 정책에 반영해 한다. 즉, 핀테크 시대에서 금융회사 보안 패러다임 핵심은 보안정책을 잘 세워야 비용이 아닌 투자라는 인식을 갖는 것이며 기업 발전과 고객의 신뢰도 얻을 수 있다.

문제가 발생했을 때 그때그때 땜질방식 보안 대책은 기업과 고객에 불신을 초래할 뿐이다. 투자 개념이 아닌 비용 발생으로 치부해서도 안 된다. 해도 그만, 안 해도 그만인 소극적 대책으로는 고객에 대한 신뢰보다는 고객을 속이는 불신의 불감증에 젖고 말 것이다. 보안정책을 잘 세운 조직이 위기관리 능력도 뛰어나다는 생각을 가져야 한다. 향후에는 차원이 다른 고객정보보호 대책마련도 해야 한다. 과거 주민등록번호나 공인인증서 유출 시에는 고객이 주민등록번호를 갱신하거나 공인인증서를 파기하고 새로 발급받아 사용하면 됐다. 하지만 최근에는 지문, 홍채, 얼굴 등 생체를 이용한 사용자 인증체계를 도입하려는 추세다. 정보유출에 따른 고객에 대한 보상도 주민등록번호나 공인인증서, 패스워드 유출 시와 전혀 다른 차원의 보상 책임도 생각해 봐야 한다.

폭스바겐 사태는 배기가스 부정조작으로 인해 회사 몰락이라는 표현까지 나오는 현실을 생각해 보면 금융회사에서 고객의 금융거래 안전성으로 피해가 발생했을 때 고객 대응도 생각해 봐야 한다. 일부 금융회사에서 민원발생에 대비한 보험도 가입해 놓고 있지만 그것으로는 부족하다. 금융회사 존폐 위기에서도 고객보호를 할 수 있는 특화된 보험도 필요하다.

외부업체에 의존하는 것보다 외부업체 기술과 자체 기술력의 조화를 이뤄야 고객과 회사의 요구를 신속하게 반영할 수 있다. 문제가 발생했을 때 신속하게 대응하지 못할 때 등을 대비해 위기관리 체계를 잘 구축해야 한다. 그래야만 정보기술 자산도 잘 관리될 수 있다.

금융회사에 정보보호책임자(CISO)는 문제 발생 시 보안대책이나 마련하는 소극적인 자세보다는 보안정책을 어떻게 수립하고 집행할 것인지 고민하고 금융회사와 고객의 신뢰를 책임진다는 자세로 임하는 것이 CISO의 책무다.

오득용 오엔파트너스 대표 ohdy@ohnpartners.co.kr