효과 논란속 금융보안 전담기구 설립 추진

금융분야 보안정보를 공유하고, 모니터링하는 통합 기구 설립을 위한 논의가 본격화됐다. 기구가 법적 권한을 가질 수 있을지, 기존 은행, 증권사 등에서 별도로 운영돼던 전문인력들을 하나로 합치는 것이 기존보다 효과가 높은 대책이 될 수 있을지에 대한 구체적인 점검이 필요하다는 지적이다.

금융위원회는 지난해 3.20 사이버테러, 올해 초 카드사 정보유출사고 이후 금융분야 보안사고에 효율적으로 대응할 수 있는 조직이 필요하다는 여론을 반영해, 기존에 흩어져 있던 금융 정보공유분석센터(ISAC)를 통합해 정보를 집중시키고, 필요한 서비스를 제공하는 금융보안전담기구를 만들자고 제안했다.

금융위는 국가사이버안전센터, 사이버사령부, 한국인터넷진흥원, 경찰청 사이버안전국, 대검 디지털포렌식센터와 같이 금융분야도 보안관제와 침해사고에 대해 신속하게 대응할 수 있도록 통합기구를 내년에 출범시킨다는 목표를 세웠다.

현재 진행중인 논의는 기존 은행권 ISAC을 담당하고 있는 금융결제원, 증권쪽 ISAC을 맡고 있는 코스콤의 일부 기능을 비영리 민간 기구인 금융보안연구원으로 통합시키겠다는 것이다.

이와 관련 업계, 보안전문가들 사이에서는 법적인 감독권한도 없고, 추가적인 예산지원이 이뤄지지 않는 상황에서 단순한 업무통합은 실효성이 없다는 지적이 나오고 있다.

1일 서울 여의도 국회도서관에서 개최된 '금융보안전담기구 설립방안, 무엇이 문제인가?'를 주제로한 토론회에서 발제를 맡은 고려대 정보보호학과 김승주 교수는 금융보안전담기구는 자율규제를 중시하는 글로벌 트렌드와는 거리가 있는데다가 예산은 확보되지 않은 상황에서 해당 기구가 컨트롤타워 역할을 할지, 정보공유를 핵심으로 할지 등에 대해서도 명확히 결정된 것이 없다고 지적했다. 본래 금융ISAC이 수행하던 기능을 물리적으로 하나의 조직으로 합칠 뿐 이를 통해 얻을 수 있는 효과를 가늠할 수 없다는 것이다.

김 교수에 따르면 ISAC은 본래 유사 업무 분야별로 해킹, 바이러스 등이 발견됐을 때 이에 대한 정보를 공유하고, 분석해 효과적으로 정보침해에 대응하기 위해 나온 조직이다. 미국에서는 금융, 통신, 정부, 에너지, 전력, 교통 등 분야별 8개 ISAC이 정보를 공유하고, 침해사고에 공동대응하고 있다.

한국은 정보통신 외에, 금융, 교육, 에너지 분야에서 ISAC을 운영 중이다. 문제는 금융위가 제시한 전담기구 논의가 금융보안정보를 공유할 수 있는 컨트롤타워를 만들겠다는 것인지, ISAC 기능에 초점을 맞출 것인지에 대해 구체적인 계획이 나오지 않고 있다는 점이다. 김 교수는 한국인터넷진흥원(KISA)은 오히려 통합돼 있었던 정보통신ISAC을 통신정보공유분석협회(TISAA)라는 별도 독립 사단법인으로 분리해 관련 업계에서 필요한 지원을 할 수 있도록 했다고 말했다.

반면 금융위가 추진 중인 전담기구는 기존 각자 전문성을 갖고 있던 고유 업무를 통합하는 대신 추가적으로 필요한 예산확보는 이뤄지지 않고 있어 힘이 실릴지 의문이라는 것이다. 오히려 기존 금결원, 코스콤 등에서 고유업무를 수행해 왔던 인력들이 이탈하면서 은행, 증권 등 고유 보안업무가 약해질 수도 있다는 우려도 제기됐다. 금융ISAC 업무를 수행하는 보안전문인력들이 전담기구로 옮기게 되면 분야별 전문성을 담보하지 못하게 된다는 설명이다.

이러한 문제점에 대해 금융위원회 전자금융과 전요섭 과장은 금융IT에 대한 감사를 실시해 기존 보안조직, 금융ISAC 업무가 중복돼 비효율적으로 운영되고 있어 기능조정이 필요하다는 결과가 나왔다며 이를 해결하기 위해 종합적인 대응, 지원을 하기 우한 조직으로 전담기구를 마련하게 된 것이라고 밝혔다.

전 과장은 이어 전담기구는 법적으로 관리, 감독 권한을 가진 컨트롤타워 역할을 하기보다는 기능적으로 중복되지 않으면서도 금융회사들 간 정보를 효율적으로 공유해, 보안관제 업무를 수행할 수 있도록 하려는 것이었다고 설립 취지를 설명했다. 오히려 흩어져 있는 돌들을 뭉쳐서 더 견고하게 만드는 작업이라고 생각한다는 의견이다.