초연결 기술을 통해 많은 양의 다양한 사물이 연결되고 있다. 연결의 너비와 깊이의 확장은 현실 공간과 가상 공간의 일체화를 진행시키면서, 일정 수준 이상 거리가 존재했던 산업간 융합의 과정을 통해 혁신 가치를 창출하고 있다.
다시 말하면 초연결 기술로 대표되는 디지털 기술은 산업간 경계를 모호하게 만들고 있으며(Big Blur), 기존과 다른 새로운 비즈니스 서비스로의 진화를 가능하게 하고 있다. 다른 산업에 비해 전통적으로 정보화 강도(Information Intensity) 수준이 높은 금융산업 또한, 금융과 비금융 산업의 경계가 모호해지면서 은행을 비롯한 금융서비스의 제공 방식이 변화하고 있다.
즉, 결제·송금·중개 등과 같은 전통의 금융기능이 신기술(빅데이터, 인공지능, 블록체인 등)과 결합을 통해 금융서비스 구조와 방식, 그리고 제도가 혁신적으로 개선된 '디지털 금융'의 환경으로 전환되고 있는 것이다.
예를 들어 오프라인 중심으로 한정되는 금융서비스는 디지털 지급결제와 자산관리, 디지털 손해보험 수준을 넘어, 디지털 건강관리와 관광여행 등 같은 새로운 신산업으로의 확장을 진행하고 있다.
한편, 디지털 금융으로의 환경변화는 이제까지 경험하지 못한 새로운 가치의 창출과 함께 이에 대한 신뢰를 훼손하는 보안 위험의 수준과 범위도 확대되고 있다. 세부적으로 기존 금융산업의 보안 위험과 정보통신기술(ICT) 보안 등이 결합된 융합적인 보안 위험이 발생하고 있다.
예를 들어, 온라인 쇼핑몰에서 정교한 정보 탈취형 결제 페이지가 탑재돼 개인정보 및 금융정보가 유출되었으며(Phishing), 금융서비스 이용에 필요한 보안인증서 및 암호화 프로그램 등에 대한 자체적인 보안 취약점이 노출되기도 했다.(SW Supply Chain)
변화하고 있는 디지털 금융환경에 대한 무결성과 지속가능성 확보를 위해 국내외 관련 문헌을 분석하고 정리한 결과, 디지털 금융환경 위험, 디지털 금융서비스 위험, 그리고 디지털 금융정보 위험 등과 같이 3가지로 요약할 수 있다.
먼저, 디지털 금융환경 위험은 디지털 금융서비스 제공을 위한 다양한 정보처리 시스템에 대한 위험으로서, 정보처리 채널의 다양화에 따른 보안 취약점 발생, 금융서비스에 관계하는 다양한 이해관계자들을 대상으로 한 다중 갈취행위, 개인 수준에서 조직, 국가 수준까지 확대되고 있는 사이버 공격의 주체, 공개된 소프트웨어 소스 코드에 대한 취약점과 업데이트 서버 등을 대상으로 한 공급망 공격, 그리고 금융서비스의 민첩성과 경제성 등을 확보하기 위해 전환이 진행되고 있는 클라우드 환경에 대한 관리 위험 등을 포함한다.
둘째로 디지털 금융서비스 위험은 기존 금융산업의 보안 위험이 디지털 환경과 결합되면서 진화된 보안 위험으로서, 디지털 자산 범위와 신뢰성 확보에 관한 제도적 한계성, 금융서비스 자율화와 채널 다양화에 따른 새로운 유형의 보안 위험 발생, 금융서비스 이해관계자의 이해충돌과 부정 문제, 금융서비스의 가용성을 훼손하는 디지털 안전사고 발생 등이 이에 속한다.
마지막으로 디지털 금융서비스를 구성하는 데이터와 정보에 대한 위험으로서, 디지털 취약계층을 포함한 사용자 식별과 접근권한 설정에 관한 불안정성, 데이터 자체에 대한 무결성 확보와 함께 민감정보 활용을 위한 비식별 처리방식의 한계성, 인공지능 기술 도입과 활용에 따른 비합리적인 작동 가능성 문제 등을 포함하고 있다.
이러한 디지털 금융 서비스에 대한 보안 위험을 최소화하기 위해서는 무엇보다 보안 기술의 연구개발과 함께, 보안 기술을 금융 산업현장에 적용하고 조정할 수 있는 전문 인력의 양성이 중요하다.
먼저, 디지털 금융환경에 대한 보안 위험에 대응하기 위해, 고위험 보안 취약점(제로데이 취약점 등) 분석 연구, 인간 심리와 행동 취약성을 고려한 사회공학적 공격 대응 연구, 교육 몰입도 및 수용성이 높은 디지털 금융 보안 교육 서비스 개발, 금융서비스 자재 명세서 설계 및 인증체계 연구, 디지털 금융기관 내외부 클라우드 서비스에서 발생할 수 있는 위험 대응 서비스 연구, 최신 사이버 위협정보 수집에 따른 디지털 금융위협 대응 서비스 구축 등이 요청된다.
디지털 금융 서비스의 안정적 운영을 위해서는 금융서비스 유형별 자율규정에 근거한 보안 수준 측정과 관리 기술 연구, 안전하고 안정적인 디지털 금융 서비스 연결(확장) 기술 연구, 디지털 계층 격차를 최소화할 수 있는 디지털 금융서비스 연구, 디지털 자산의 안전한 관리와 유통체계 기술개발, 과 탐지와 오 탐지를 최소화할 수 있는 부정거래 분석과 탐지 기술 연구, 다양한 형태의 보안 위험과 사고 등에 실시간으로 대응할 수 있는 회복력 기술 연구 등이 필요하다.
마지막으로 디지털 금융 정보에 관한 무결성을 확보하기 위해서는 데이터 활용목적과 특성을 고려한 비식별 처리 방법론 연구, 사이버·물리 공간에서 신뢰할 수 있는 사용자 식별과 신원 보증 체계와 기술 연구, 금융서비스를 지원하는 인공지능에 관한 신뢰성 보장과 편향성 최소화 기술 연구 등이 고려될 수 있다.
아울러 디지털 금융의 안전성 지원하는 연구개발 과정과 함께, 금융산업에 관계되는 법률, 규제, 윤리적 원칙 등과 부합성을 유지하면서 디지털 금융을 내재화하고 안전성을 확보하기 위한 조정 전문가의 양성이 필요하다. 무인 이동체, 스마트 선박, 우주·항공 등에 대한 융합 보안산업 분야에서 전문 인력의 양성은 중장기적으로 미래에 예상되는 서비스에 대한 준비도를 높이고자 하는 노력으로 볼 수 있으나, 디지털 금융에 관한 보안 인력의 양성은 현재 진행되고 있는 흐름에 대한 적극적인 대응 노력으로 간주할 수 있다.
미국에서 운영하는 보안에 관한 전문 인력양성 목적의 교육체계 'NICE(National Initiative for Cybersecurity Education)' 에 근거하여 발표한 'Cyber Seek' 자료에 의하면, 보안 분야의 인력 수요는 2023년 현재 2010년 대비 약 77% 성장을 보이고 있으며, 특히 금융·보험 산업에 보안 인력 수요는 2010년 대비 약 92%의 성장과 함께, 다른 산업 분야에 비하여(통신, 의료 등) 상대적으로 높은 인력 수요가 있는 것으로 조사됐다.
국내에서도 디지털 금융과 관련된 정부 기관을 중심으로 디지털 전환 가속화로 인한 전통적인 금융영역의 인력수요 감소와 함께, 디지털 금융에 관한 새로운 인력수요 급증에 대응하고 있다.
추가적인 자료 분석을 통해, 금융·보험 산업에서 요구되는 세부적인 보안 인력 직무 수요는 금융서비스에 대한 비즈니스 흐름을 이해하고 데이터 활용 가치를 극대화할 수 있는 보안정책 수립과 운영에 관한 직무, 보안 서비스 개발 직무 그리고 보안시스템 설계관리 직무 등의 순으로 조사됐다.
한편, 디지털 금융 업무를 수행하는 국내 주요 금융기관의 보안 인력에 관한 채용공고를 분석한 결과, 해당 인재상이 지향하는 가치는 도전성, 혁신성, 인성, 그리고 전문성 등으로 조사되었으며 해당 직무를 수행하는 데 필요한 자격역량으로는 금융과 보안에 관련된 자격증과 함께 ICT 신기술 적용 경험과 소통 능력 등이 필요한 것으로 조사됐다.
따라서 디지털 금융을 위한 융합보안 전문인력은 보안에 대한 기술적·관리적 역량과 함께 디지털 금융의 정보흐름을 이해하면서, 디지털 거래의 안전성과 무결성을 자연스럽게 확보할 수 있는 인재로 양성돼야 한다.
'보안'이라는 학문은 기초학문보다 응용학문에 가까우며, 실용학문을 지향한다고 본다. 보안이라는 자물쇠(통제 장치)를 만드는 과정에서도 자물쇠가 채워지는 대상의 크기와 모양에 대한 이해가 선행돼야 하는 것과 마찬가지로, 산업에 대한 충분한 이해는 효과적이고 효율적이며 경제적인 보안 활동을 가능하게 만든다. 우리가 오늘도 접하게 될 디지털 금융서비스의 안전성과 해당 산업의 지속가능한 발전을 위해 지금이 바로 융합 보안 연구개발과 인력양성이 필요한 때다.
장항배 중앙대 산업보안학과 교수 hbchang@cau.ac.kr
〈필자〉장항배 교수는 중앙대 산업보안학과 교수로 재직하면서, (사)한국산업보안연구학회 학회장을 역임했다. 현재 4단계 BK21 '사이버·물리공간 청정화 연구사업단' 단장을 수행하면서, 미래 융합공간에서의 오염요소(기술유출과 탈취, 사이버범죄 등)를 최소화하기 위한 다학제적인 연구를 진행하고 있다. 2019년부터 한국공학한림원 기술경영정책분과 일반회원으로 활동하고 있다.