[전문가기고]핀테크와 사이버테러

국가 주요 기관은 물론 금융, 항공, 철도, 전력, 물류 등 국민 생활과 직결되지 않는 시스템이 없다.

인터넷과 스마트폰 사용이 삶의 편리성을 가져다 주었지만 사이버테러로 인한 정보 유출뿐만 아니라 시스템 마비는 상상도 못할 정도로 엄청난 혼란과 재난을 초래할 수 있다.

국내 주요 시스템이 마비됐다고 가정해 보자

나름대로 위기관리 매뉴얼을 갖춰 놓고 있다 하더라도 매뉴얼대로 할 수 있을지 의문이다.

예를 들어 금융 시스템의 전원 스위치를 내린다고 가정해서 매뉴얼대로 국내의 모든 금융사가 보안 점검을 수행한다면 현재 시점으로는 불가능한 것으로 보인다.

매뉴얼에는 어느 경우의 테러가 발생해도 수 시간 내에 모든 기능이 정상으로 작동되고 처리돼야 한다. 시스템 규모에 따라 작게는 수십 대에서 많게는 수천 대의 컴퓨터를 사용하고 있다.

PC를 켜는데 걸리는 시간을 비교하면 수천 대의 컴퓨터를 일일이 작동시키는데 얼마나 많은 시간이 소요되는지 짐작해 봐도 알 수 있다.

이뿐이겠는가. 내부와 연결된 네트워크, 외부와 연결된 네트워크, 사용자 PC까지 테스트한다고 가정하면 우리 현실은 스스로 상상조차 힘든 상황의 도래를 외면하면서 사이버 보안에 대한 불감증이 더욱 커져만 가고 있는 실정이다.

특히 최근 정부는 인터넷전문은행을 비롯해 보안카드 사용 의무화 폐지, 5만원권 이하 무서명 거래 도입 등 고객 편의를 높일 수 있는 다양한 정책을 내놓고 있다.

이에 따라 금융사도 비대면 채널 기반이나 좀 더 편리한 결제 서비스 등을 제공하는데 여념이 없다.

하지만 분명한 건 이에 걸맞은 보안 대책도 함께 수립돼야 한다는 점이다.

현실을 제대로 직시하고 대책을 적극 마련해야 하는데도 이에 걸맞은 보안 대책은 너무 안일하게 여기는 경향이 있다.

국가 주요 기관의 사이버테러에 대한 대응 방안은 어떠해야 하는 걸까

최근에는 시스템의 프로그램이나 데이터를 임의로 암호화하는 랜섬웨어에 의한 피해 보고도 속출하고 있는 상황이다.

현재 시스템에 연계된 내부망과 인터넷망을 분리해 외부 접근을 원천 봉쇄하고 있지만 업무 특성상 망 간 연계나 저장매체 또는 외부메일 등에 의한 악성코드의 유입은 여전히 존재하고 있는 실정이다.

보안시스템 분야에도 여러 취약점이 있다. 정보기술(IT) 노후화로 기능이 떨어지는 경우, 특정 분야를 중복 사용하는 경우 등 실효성이 떨어지고 있어 기존에 적용하는 보안시스템에 대한 기술일몰제 도입이 필요한 실정이다. 신기술이 적용될 수 있도록 하는 방안도 고려해야 한다.

위기관리는 시스템 구조뿐만 아니라 사용하는 프로그램, 데이터, 네트워크 등 보유 자산의 현황을 정확히 알아야 그에 대한 대응 능력을 갖출 수 있다. 이에 반해 시스템 개발과 운영을 외부에 맡기는 경우 주기적으로 전문 인력을 교체, 시스템에 대한 위기관리 능력이 현저히 떨어질 수밖에 없다.

위기관리 주체는 내부 조직이 돼야 하고, 그에 상응하는 전문 인력은 상존해야 한다.

이제는 정부와 금융사 모두 국민과 고객을 두려워하는 마음으로 자세를 바꿔야 할 때다.

오득용 오앤파트너스 대표 ohdy@ohnpartners.co.kr