‘블랙스완(Black Swan)’이라는 용어가 있다. 하얀색이 아닌 검은색의 백조. 이 역설적인 표현은 아무도 예상하지 못했던 사태가 실제로는 발생할 수 있음을 경고한다. 블랙스완 이벤트는 피해가 심각하지만 아무도 발발 가능성을 예측하기 어려워 사후에야 인지할 수 있게 되는 특징을 갖는다.
최근 모바일 뱅킹 확대, 클라우드 컴퓨팅 서비스 도입, 빅데이터 및 인공지능(AI) 활용, 디지털 자산 등장 등과 같이 금융의 디지털화는 나날이 가속화, 첨단화해 가고 있다. 디지털화가 급속히 진행되면서 어떠한 새로운 금융보안 위험이 있는지 예측하기는 점차 어려워지고 있다.
지난 해 발생한 대형 플랫폼 업체 데이터센터 화재 및 이로 인한 혼란도 이러한 상황에서 발생한 재난 사태라고 볼 수 있다. 결국 디지털 금융 관련 보안 위협은 디지털 시대 새로운 블랙스완으로 발현될 가능성이 크다. 정보통신(IT) 기술 변화와 혁신을 보장하면서도 이러한 가능성을 최소화하기 위해서는 사이버 보안 사고를 가장 효과적으로 차단할 수 있도록 금융보안 규제를 선진화해야 한다.
홍수를 방지하기 위해 물의 수위를 조절하는 댐의 수문과 같이 금융규제 수위를 자유자재로 변화할 수 있다면 좋으련만, 안타깝게도 규제는 속성상 한번 도입되면 변경하기 어렵다. 특히 현재 금융보안 규제체계는 경직적 규정 중심으로 세세하게 열거되어 있으며 사전적으로 통제하려는 성격이 강해 유연한 보안대응을 어렵게 한다는 지적이 있어 왔다.
예를 들면 전자금융감독규정상 준수사항으로 전산실 내 휴대용 손전등 비치나 온도계 설치와 같은 사항까지 세세하게 열거돼 있다. 그러나 이러한 세부사항에 대해서는 규정을 통해 규제하기보다는 개별 금융회사가 각 회사의 규모 및 리스크 등에 따라 자율적으로 판단하도록 하는 편이 더 나을 것이다. 지나치게 상세한 규정을 통해 통제하다 보니 금융회사의 보안목표가 ‘금융보안’이 아닌 ‘열거된 규정의 준수’로 왜곡돼 인식되고 있는 것은 아닌가 하는 걱정이 들기도 한다.
규정상 보안 의무만 준수하면 모든 보안 책임을 다하는 것이라는 접근방법은 곤란하다. 단순히 규정상 의무를 준수하는 것보다는 실제로 리스크 실현을 방지하는 것이 중요하다. 위험이 실질화할 때, 어느 것이 가장 적합한 조치인지는 결국 회사가 판단할 수 밖에 없다. 보다 효과적인 억제수단이 있을 수 있음에도 규정상 소극적 의무만을 고집하는 것, 규정에 없다는 이유로 적절한 조치를 취하지 않는 것 등을 경계해야 한다. 금융위원회는 기존 금융보안체계를 개선해 자율과 책임에 기반한 금융보안 체계를 합리화하려는 노력을 지속해 나가고 있다.
금융위원회는 지난 해 12월 ‘금융보안 규제 선진화 방안’을 통해 금융보안 규제체계 정비의 방향을 제시한 바 있으며, 올해 상반기에는 구체적 실행과제를 마련해 발표할 예정이다.
앞으로 금융보안 규제는 ‘규칙(Rule)’ 중심에서 ‘원칙(Principle)’ 중심으로 전환할 필요가 있다. 구체적인 수단을 강제하기보다는 목적을 제시하고 나머지 세세한 부분은 자율에 맡김으로써 금융회사 스스로 새로운 리스크에 유연하게 대응할 수 있도록 유도해 나가는 방향으로 금융보안 규제를 정비해 나가야 한다.
자율에 따르는 책임도 간과할 수 없다. 기존에는 감독당국에 대한 규제 준수 의무에 치우쳐 있었지만, 이제는 내부 거버넌스 및 고객에 대한 책임도 강조돼야 한다. 금융보안이 회사 내부 IT 부서만의 기술적인 일로 여겨져서는 안되며 일반 현업부서부터 최고 의사결정권자까지 관심을 가지고 관여하는 거버넌스 책임 체계의 구축이 필요하다. 나아가 디지털 시대에 나타날 수 있는 블랙스완에 대해서는 사고발생 가능성을 인정하고 고객에 대한 서비스 중단을 최소화하는 데 역량을 집중하는 것, 즉 운영복원력(Operational Resilience) 확보에도 노력을 기울여야 한다. 이러한 노력은 자율보안체계 이행에 따라 필요한 다차원적인 책임성 확보에 도움을 줄 수 있을 것이다.
올해 세계경제포럼(WEF)은 ‘사이버 범죄 및 불안 확산’을 향후 발생할 주요 글로벌 리스크 중 하나로 지목했다. 금융혁신 및 디지털융합 과정에서 새로운 형태 위협과 사이버 범죄는 그 모습을 바꾸어가며 계속 등장할 것이다. 그러한 상황에서 금융회사는 향후 제각기 처한 환경에 맞게 고객과 금융안정을 보호할 수 있는 안전장치를 강구하고 빠르게 복원할 수 있는 소생력을 갖추어야 한다. 이것은 금융위원회가 달성하고자 하는 정책목표이기도 하다.
디지털 시대 위기는 항상 정형화된 형태로 발생하는 것이 아니라 새로운 형태로 진화하기 때문에 구체적 위협의 수단과 그 파괴력을 예측하기는 점점 어려워 질 것이다. 경직적 세부규정 중심 보안규제체계는 예상치 못한 충격을 만나면 무용지물이 될 수 있는 반면, 자율적 판단에 기반한 금융보안 규제는 디지털 시대에 유연한 대응능력을 제공해 줄 수 있을 것이다.
디지털 시대에는 예측하기 어려운 새로운 블랙스완이 나타날 가능성이 높다. 금융위원회는 디지털금융 분야에서 보안위협을 스스로 진단하고 가장 적합한 방식으로 대응해 나갈 수 있도록 선진적이고 실효적인 규제체계로 패러다임을 전환하고자 한다.
앞으로도 사이버 위협은 그 형태를 바꾸어 계속 진화하며 우리의 대응태세를 시험할 것이다. 금융위원회는 IT 발전과 자율을 보장하면서도 금융보안을 굳건히 지켜나갈 수 있도록 균형감 있는 보안규제 체계 구축을 위해 최선을 다할 것이다.
김소영 금융위원회 부위원장
〈필자〉김소영 금융위원회 부위원장은 1990년 서울대 경제학과를 졸업하고 1994년부터 1996년까지 미국 예일대에서 경제학 석사, 박사 과정을 마쳤다. 한국은행 자문교수, 아시아개발은행(ADB) 컨설턴트, 국제결제은행(BIS) 자문역, 대한상공회의소 자문위원 등을 역임했다. 2009년부터 서울대 경제학부 교수로 재직 중이다. 2022년 5월 17일 금융위원회 부위원장에 지명됐다. 대선캠프에서는 경제정책본부장을 맡았고, 제20대 대통령직인수위원회에서도 경제1분과 인수위원을 담당했다.