은행들, 자율보안 시대 준비로 분주

"과거에는 금융사고가 발생했을 때 금융당국이 일종의 방패막이 역할을 해줬지만 이제는 그렇게 하기 힘든 시기가 됐다."

최근 달라진 금융보안환경을 둘러싼 반응이다. 금융당국은 간편결제, 핀테크 등 금융과 IT기술의 융합이 화두로 떠오르면서 그동안 사전규제에서 자율보안 및 사후책임 강화로 금융보안 패러다임을 180도 바꿨다. 이에 따라 당장 다음달부터 보안에 대한 책임을 짊어져야하는 금융권의 고민이 커졌다.

자율보안 환경에서 주요 은행들은 내부적으로 운영돼 왔던 자체 보안성 심의를 강화하는 한편, 보안 외 IT부서, 본부부서, 영업점은 물론 외부협력업체 등에 대한 보안교육을 강화하고, 부족한 부분을 외부 전문가 그룹의 자문을 통해 해결한다는 대략적인 틀을 세우고 있다.

자율보안 환경에서 은행들이 느끼는 가장 큰 변화는 금융감독원이 수행해 왔던 사전 보안성 심의 폐지다. 이전까지 전자금융감독규정 상 금융회사와 결제대행사(PG), 선불/직불전자지급수단 발행사 등 전자금융업자들은 새로운 서비스를 출시할 때 마다 사전에 금감원으로부터 보안성 심의를 통과해야만 했다. 금감원이 해당 서비스에 대한 보안성을 체크리스트에 기반해 검토한 뒤 심사가 통과된 경우에만 서비스를 제공할 수 있게 한 것이다.

그러나 여러 핀테크 스타트업들이 은행 등 금융사와 연계한 새로운 서비스를 출시하려고 해도 이 규정에 발목 잡혀 새로운 서비스를 제 때 출시할 수 없다는 지적에 따라 해당 심의가 폐지되는 대신 은행 등 금융사는 자체 보안성 심의를 거쳐 결과보고서를 금감원에 제출하는 방식으로 바뀌게 된다.

이와 관련 KB국민은행 최고정보보호책임자(CISO)인 김종현 상무는 "내부적으로 운영해 온 보안성 심의를 이전보다 강화해야한다는 책임이 따른다"며 "이제는 은행 보안부서가 자체적인 권위를 갖고 계도를 해야하는 입장"이라고 밝혔다. 그는 "이전까지 KB국민은행의 경우 내부적으로 기본적인 보안정책들을 IT그룹에서 마련해왔으며, 현업 부서, IT부서 등에 대해서는 총 100개 정도 별도 체크리스트를 통해 이를 보완해 나간다는 방침"이라고 밝혔다.

이전까지 금감원이 보안성 심의를 통해 전자금융서비스 도입 여부에 대한 칼자루를 쥐고 있었다면 이제는 각 은행 CISO가 관련 기준을 정하고, 시행해야하기 때문에 내부적인 설득작업이 중요해졌다는 설명이다.

하나은행 CISO인 유시완 전무는 "이전까지 보안성 심의 관련 가이드라던가 모범규준에 따라 관련 업무를 수행해 왔는데 앞으로는 보안을 자율에 맡기면서 자체적으로 해결하려다 보니 불안한 부분들이 있는 것도 사실"이라고 말했다. 그러나 "길게 보면 단순히 (금융당국으로부터) 주어진 보안정책들만 단순히 수행하는 것이 아니라 지속적으로 검토해나가면서 내부 보안역량을 강화할 수 있을 것으로 본다"고 말했다.

주요 은행들은 금감원의 보안성 심의가 폐지되면서 체크리스트를 기반으로 새로운 서비스에 대한 보안성을 검토한 뒤 부족한 부분을 보완하도록 한다는 방침이다. 여기에는 인증, 외부/내부데이터 저장방식, 네트워크 구성방식 등에 대한 내용이 담겼다.

규제 완화로 은행 자체적인 보안 관리의 중요성이 부각되면서 각 은행들은 내부교육 강화와 함께 외부 보안그룹과 협력하는 방안들을 검토 중이다.

유 전무는 "예전처럼 특정한 보안기술/정책만 적용하면 되는 것이 아니고, IT기술이 워낙 빨리 변하기 때문에 여러가지 사항들을 같이 봐야한다"며 "크게 내부적인 보안 프로세스를 만들고, 보안성 심의와 같은 부문에 대해서는 보안컨설팅회사 등을 통해 별도 외부자문을 받을 방침"이라고 밝혔다. 최근 금융결제원, 코스콤, 금융보안연구원 출신 보안담당자들을 중심으로 새로 출범한 금융보안원도 기술적인 면에서 보안성에 대한 검토를 수행하게 된다.