곽창규 금융보안연구원장
“금융보안은 비용이 아니라 투자입니다. 금융기관 최고경영자(CEO)의 보안 마인드부터 달라져야 합니다.” 우리나라 전체 금융거래 가운데 80%가 비대면 거래로 이뤄진다. 창구에서 직원과 마주하는 대면거래가 아닌, 인터넷 뱅킹, 인터넷 결제, 모바일 결제 등이 그만큼 많다는 얘기다.
곽창규 금융보안연구원장
선진국의 비대면거래 비율이 50% 안팎인 점을 고려하면 엄청난 규모가 아닐 수 없다. 이러한 상황에 현대캐피탈 고객 정보 해킹 사건에 이어 농협 전산 장애 사태가 잇따르며 국내 금융 소비자들이 불안해하고 있다.
근본적인 대책은 없는 것일까. 14일 서울 여의도에서 만난 곽창규(55) 금융보안연구원장은 금융보안을 위한 예산을 쓰면 아까운 비용으로 여기는 금융기관 CEO의 마인드부터 바뀌어야 한다고 강조했다.
→금융보안은 왜 중요한가.
-전자금융은 편리하지만 그 이면에서는 사고가 지속적으로 발생하고 있다. 최근 들어서는 금전적 목적의 해킹 공격이 증가하고 점차 조직화되고 있다. 새로운 공격 기술이 나오는 주기도 점점 짧아지고 있다. 그러한 가운데 모바일 오피스 등 새로운 비즈니스 환경과 스마트폰 등 새로운 전자금융 거래 수단의 등장은 금융권에 새로운 과제를 던진다. 금융기관을 대상으로 한 사이버테러 발생 시 전자금융 서비스 지연 및 중단 등으로 일어나는 사회적 혼란과 경제적인 피해는 다른 어떤 분야보다 심각하다.
→현대캐피탈에 이어 농협까지 사고가 잇따르고 있다. 우리 정보기술(IT) 수준이 낮아서인가.
-그렇지 않다. 우리 기술 수준은 세계 최고다. 그래서 상대적으로 해외 해커들의 타깃이 되기도 한다. 그동안 전자금융거래 이용률 대비 해킹 사고 횟수를 살펴보면 전자금융시스템 보안은 상대적으로 잘 구축되어 있는 편이다. 하지만 경영자층의 보안 의식이 뒤따르지 못하고 있다. 특히 캐피털사 등 제2금융권의 정보보호 예산 및 인력 규모는 금융당국이 제시하는 가이드라인에 미치지 못하고 있는 상황이다. 적극적인 지원과 투자가 필요하다.
→두 사건이 일으키고 있는 파장이 엄청난데.
-현대캐피탈은 과거 사고에 견줘 대량의 금융정보가 유출됐다는 점에서 주의해야 한다. 신속한 후속 조치로 추가 피해는 막았지만, 유출된 정보를 통해 피싱 등의 2차 피해가 일어날 수 있기 때문에 주의가 필요하다. 농협 수준의 전산 장애는 사상 처음이다. 금융당국의 조사와 검찰 수사 결과가 나와 봐야 하겠지만 외부에서 내부 서버에 침입했다기보다는 내부 소행, 관리 소홀로 여겨진다.
→개별 기관으로 대응하기보다는 업권별로 공동 대응해야 한다는 의견도 나오는데.
-은행권역에서는 금융결제원, 증권권역에서는 코스콤이 전담해 디도스 및 해킹 공격 등에 대비하고 있다. 제2금융권의 소규모 회사의 경우 자체적으로 대응하기 어려운 게 현실이기 때문에 공동 대응을 전담하는 기관이 필요하다고 본다.
→금융기관이 의무적으로 정보보호최고책임자(CISO)를 임명하는 법안이 추진되고 있는데.
-국내 정보보호업무 담당자들은 책임만 있고 권한이 없는 경우가 많다. 책임을 지려면 합당한 권한이 있어야 한다. 이를 뒷받침해 주는 법적인 제도가 필요하다고 생각한다.
→이번 사태가 주는 교훈은.
-모든 금융권이 보안을 재점검하고 금융보안의 중요성을 다시 한번 인식하는 계기가 돼야 한다. 사실 사고가 날 때마다 호들갑을 떨다가도 시간이 지나가면 흐지부지되는 측면이 없지 않았다. 그래서는 안 된다. 정부도 마찬가지다.
홍지민·오달란기자 icarus@seoul.co.kr
2011-04-15 4면
