금융관리기관들의 허술한 CC인증 관리 체계가 보안사고의 위험성을 높이고 있다는 지적이 나오고 있다. CC인증에 대한 정확한 이해 없이 제도만 도입하다보니 보안사고에 대응할 수 있는 전문적인 수준의 관리가 이뤄지지 않고 있다는 것이다.
25일 업계 관계자들에 따르면 금융위원회는 전자금융감독규정 15조를 통해 정보보호시스템에 사용되는 정보보호제품은 국가기관의 평가인증을 받은 제품을 사용하도록 의무화하고 있다. 여기서 말하는 평가인증은 사실상 국가정보원이 제시한 보안적합성평가기준을 만족하는 제품에 부여되는 'CC인증'이다. 금융권에서는 보안솔루션, 장비 등에 대한 별도의 인증기준이 없기 때문에 CC인증 제도를 빌려쓰고 있다.
문제는 CC인증을 받은 제품이 금융회사에 그대로 공급되는 경우는 거의 없다는 점이다. 실제로 금융권에 널리 사용되고 있는 보안솔루션 중 하나는 지난해 취약점 등을 문제로 CC인증이 취소된 바 있다. 그러나 이에 대해 금융 당국은 전혀 모르고 있었던 것으로 드러났다. 이 업체는 현재 취약점을 보완해 재인증을 신청한 상태다.
보안 업계에 따르면 보안제품이 완벽하게 CC인증을 받은대로 고객사에 공급되기는 어려운 것이 현실이다. 이에 따라 제품을 고객사의 요구사항에 맞게 최적화하는 과정에서 새로운 취약점이 발견될 수 있는 것도 사실이다. 보안회사들이 국정원으로부터 재인증을 받거나 변경사항에 대해 추가적인 인증을 받는 것도 이러한 이유에서다.
다만 금융 분야에서 보안 제도를 만들고 이를 도입, 관리 감독하는 금융위, 금감원에서 CC인증 취소 사실에 대해서 몰랐다는 점은 전문성 부족이 의심되는 부분이다.
고려대 정보보호대학원 김승주 교수는 강의를 나가면 금융권 IT담당자들이 금융위, 금감원 등에서 CC인증을 받은 제품을 쓰라고 하는데 도대체 어떤 보안제품을 써야되는지 모르겠다고 하소연하는 경우가 많았다며 금융당국이 복잡한 CC인증제도에 대해 얼마나 잘 이해하고 이를 활용하고 있는지 의문이라고 밝혔다.
이 부분에 대해 금감원 관계자는 금융권에 검사를 나가 규정을 위반하고 있으면 준수하라고 지도를 한다며 보통 규정을 준수하고 있기 때문에 그동안 큰 문제가 없었다고 말했다.
관련기사
- 금융권, 'IT 정규직' 대폭 늘리나2013.05.25
- 금융기관 CIO·CISO 겸임 금지되나2013.05.25
- 금융앱스토어 유사사이트 접속 차단...왜?2013.05.25
- 금감원 IT 보안 허술한 5개 금융기관 제재2013.05.25
최근 스미싱, 피싱, 파밍, 3.20 사이버 테러 등과 같은 보안 이슈가 발생하면서 금융위는 내달 은행 등 대형 금융기관의 최고정보책임자(CIO), 최고정보보호책임자(CISO) 겸임 금지, 557 규정 강화 , 내부망과 외부망의 분리 등을 핵심으로 하는 보안 종합방안을 발표할 예정이다.
그러나 보안제품에 대한 최소한의 안전성을 담보하고 있는 CC인증에 대한 이해도가 없는 당국이 얼마나 현실성 있는 보안대책을 내놓을 수 있을지는 좀 더 두고봐야 할 전망이다.
