"100% 완벽한 보안은 없다"...금융권 보안강화

현대캐피탈 고객정보유출과 농협사태로 금융권이 몸살을 앓고 있다. 전 금융사가 비상체제를 가동하며 보안강화 대책 마련에 힘을 쏟고 있다.

현대캐피탈에 이어 농협 전산망 서비스 장애가 '내부자 소행'임이 밝혀지면서 금융권의 보안 관리문제까지 도마 위에 오르기 시작했다. 하지만 금융권과 보안업계에서는 보안기술만으로 해결되지 않는 부분도 있다고 지적했다.

하지만 최근 스마트폰 활성화로 스마트뱅킹도 증가추이에 있어 보안문제는 더욱 화두로 떠오르고 있을 뿐 아니라 금융권 보안은 신뢰성이 더욱 강조되고 있어 집중점검이 필요하다. 그런만큼 금융권 보안 문제점은 무엇이며, 대안은 있는지 논의가 이뤄져야 할 시점이다.

■금융권 보안 적신호...무엇이 문제인가?

대부분의 금융권들은 현재 2007년 시행된 전자금융거래법에 의해 보안정책을 준수하고 있다. 이에 따라 금융사들은 방화벽과 침입탐지시스템, 분산서비스거부(DDoS)방지시스템 등을 구축하고 있다.

뿐만 아니라 민간 보안솔루션 업체와 손잡고 꾸준히 시스템도 감시하고 있다. 최근에는 DDoS공격으로 보안수위도 한 단계 높인 상황이라 금융사들은 보안에 대해 자신하는 분위기였다.

하지만 이번 사건으로 은행, 카드 등 금융 관련업계도 유사피해 방지를 위해 특별점검에 나섰다. 지난 11일 금감원은 IT전문가 등으로 구성된 사건 대책반을 구성해 현대캐피탈 이 외에 다른 금융사로 특별감사를 확대했다.

금융권들은 그 동안 보안에 자신해왔지만, 많은 고객정보를 보유하고 큰 자산이 오가는 만큼 보안에 대해 단언하는 것은 섣부른 판단이라는 목소리도 높다.

사실상 금융권의 고객정보는 보안을 위해 외부 웹서버가 아닌 내부망에 저장하고 있다. 접근도 관리자나 인가된 직원에 한해서만 가능하도록 하고 있다. 그렇다 하더라도 예상치 못한 경로로 정보가 유출될 가능성도 배제할 수 없기 때문에 안심할 수 없다.

보안업계 관계자들은 보안을 흔히 '창과 방패'로 비유한다. 보안기술이 발전하는 만큼 해킹도 진화하고 있다는 점을 잊어서는 안된다는 것이다.

금융권 보안은 고객정보유출 이외에도 내부자 등을 통한 우발적이거나 의도적인 정보유출에 대해서도 안심할 수 없다. 아무리 최첨단 보안시스템으로 방어를 하더라도 단순한 부주의나 사고만으로도 얼마든지 정보유출이 될 수 있는 구조이기 때문이다.

금융전문 한 보안전문가는 금융권은 자료가 유출되는 통로를 제한적으로 관리하거나 나름대로 관리규율이 있지만, 업무들이 워낙 많이 분산되어 있고 기존 프로세스들 자체가 너무 복잡하기 때문에 보안을 적용할 때 기술적 한계들을 가지고 있는 것이 사실이라고 말했다.

이는 보안 솔루션 구축여부와는 별개로 금융권의 특수성 때문에 한계가 존재한다는 얘기다.

한 금융업계 IT담당자는 금융보안 시스템에 대해 하소연하기도 했다. 보안 시스템 구축을 완벽히 하고, 관리자가 충실히 보안정책을 지키더라도 금융권 뿐 아니라 모든 분야가 마찬가지로 100% 완벽한 보안은 없다는 것이다.

뿐만 아니라 이번 농협사태가 발생하면서 금융권의 관리부재도 지적되고 있다. 14일 익명을 요구한 한 금융권 IT전문가는 보안 솔루션이 문제라고 지적하는 목소리가 많지만, 결국 해킹이거나 내부자문제거나 이미 권한을 취득한 상태기 때문에 보안 솔루션을 갖췄나 안갖췄냐의 문제가 아니다면서 물론 보안 솔루션이나 관리 프로세스를 유지하는 것도 중요하지만 관리가 우선순위 아닌가라고 금융권의 고질적인 문제를 지적했다.

그는 언론도 사건이 있을 때마다 보안 솔루션과 도입을 위한 정책강화 쪽으로 상황을 몰아가는데 가장 중요한 본질은 그런 문제가 아니라고 말한다.

■'금융권 보안' 해결책은 무엇인가?

현대캐피탈 해킹피해가 확산되면서 보안 전문가들은 먼저 이용자들이 비밀번호를 주기적으로 변경할 것을 조언했다. 이용자들의 근본적인 보안실천을 먼저 권장해 보안 의식수준을 가질 필요가 있다고 전문가들은 말했다.

금융보안연구원의 한 관계자는 특히 금융권의 보안예산이나 전문인력에 투자를 늘려야 한다면서 최근 금융권에 정보보호책임자 도입에 대해서도 논의되고 있는 만큼 금감원 지침에 따라 컴플라이언스(규제준수)를 하려는 노력을 더욱 기울여야 할 것이라고 말했다.

하지만 그는 현재와 같이 거래 이체한도나 등급별로 차등을 시켜 서비스별로 보안정책을 달리 하고 있는 것처럼 금융거래환경에 맞는 보안시스템을 꾸준히 구축해 나가야 할 것이라고 말했다.

이에 지난 12일 금감원은 금융사의 정보보호와 관련한 조직과 인력, 예산을 확대하고 IT부문 업무계획을 담아 추진하겠다는 계획을 밝혔다.

금감원은 먼저 정보보호 전담조직과 인력 운영여부 등 금융회사 경영실태평가도 반영하도록 평가지침을 수정할 예정이다. 다만, 정보보호 예산 범위자체가 모호해 먼저 기준을 만들고 대규모 IT설비투자가 이뤄지면 정보보호 예산비율이 축소될 수 있다는 점을 개선하기로 했다.

금감원 관계자는 지금 당장 예산과 인력확보를 강제하는 것은 현실적으로 어렵다며 경영실태평가를 통해 점진적으로 유도해 나가겠다는 입장을 밝혔다.

정보기술 부문 실태평가 대상도 현행 은행, 보험, 신용카드사에서 더욱 확대하는 방안을 검토할 예정이다. 현재 전자금융감독규정에는 평가대상에 여신업체는 해당되지 않고, 저축은행과 신용협동조합과 같은 제2금융권도 조합이 아닌 중앙회만 실태평가 대상으로 규정되어 있다.

하지만 금감원은 현재 600여개에 달하는 금융회사를 감사해야 하지만 실재 IT서비스실의 검사인력은 11명에 불과해 현실적인 조치가 어려운 상황이다.

인력문제는 비단 금감원만의 문제는 아니다. 14일 금융권의 한 전산담당자는 금융권 업무환경에 대해 짚고 넘어갈 필요가 있다고 강조했다. 그는 사실상 금융권에서도 전산IT를 전문으로 하는 담당자를 고용해 보안에 노력을 기울이고 있지만. 인력들이 보안관리 업무만 할 수 있는 환경이 아니라고 말했다. 보안전문 인력을 배치하더라도 결국 부서입장에서는 자신들이 해온 과중한 업무를 나눠서 하는 것 밖에 되지 않는다는 것이다.

이런 전문인력들이 여러 가지 업무 때문에 전문가로서의 역량을 발휘할 수 없는 것이 현실이라는 것이다.