정부 설치형 보안 소프트웨어 단계적 축소, MFA·FDS 기반 서버 중심 체계로의 전환 가속화
예산 확정 후 쏟아진 단기 전환 요구에 공공·금융 현장 혼선, 실효성 있는 중장기 로드맵 필요
기술적 타당성 넘어서 현장 수용성과 산업 정합성까지 아우르는 거버넌스 필요

[보안뉴스=이아람 기술사/한국정보공학기술사회] 정부가 금융권의 설치형 정보보안 소프트웨어를 단계적으로 축소하겠다는 방침을 내놓으면서, 국내 금융 정보보안 체계의 근본적인 변화가 본격화되고 있다. 이 변화는 ‘액티브X’(ActiveX)에서 ‘설치형 정보보안 소프트웨어’로 이어져 온 기존 구조를 뒤흔드는 시도라는 점에서 의미가 크다.


액티브X부터 이어진 ‘설치형 보안’, 서버 중심 체계로 필연적 전환
국내 금융 정보보안 체계는 과거 액티브X 기반에서 출발했다. 그러나 액티브X가 반복적인 취약점의 주요 원인으로 지적되면서, 정보보안 방식은 키보드 보안, 방화벽, 백신 등 이른바 ‘설치형 정보보안 소프트웨어’ 중심으로 전환됐다. 그럼에도 사용자 PC에 정보보안 책임을 상당 부분 의존하는 구조라는 점에서 근본적인 한계가 지적됐다. 금융사가 고객에게 정보보안 책임을 전가하고 있다는 비판은 액티브X 도입 초기부터 꾸준히 제기되어 왔다.

이러한 흐름을 고려하면 최근 정부가 설치형 정보보안 소프트웨어를 단계적으로 축소하고, ‘다중인증’(MFA: Multi Factor Authentication)과 이상금융거래탐지시스템(FDS: Fraud Detection System) 등 서버 중심 정보보안 체계로 방향을 잡은 점은 충분히 이해할 수 있다.

여기에 최근 금융권에서 연이어 발생한 정보보안 사고 역시 정책 전환 논의를 촉진한 배경으로 작용한 것으로 보인다. 보안 사고에 대한 사회적 경계가 높아진 상황에서 근본적인 구조 변화를 요구하는 목소리가 커진 것도 사실이다.

해외 금융권에서도 별도의 정보보안 프로그램 설치에 의존하기보다는, 접속 환경과 거래 행위를 종합적으로 분석해 위험을 판단하고 사고 발생 시 금융사가 책임을 지는 방식이 점차 일반화되고 있다는 점 역시 참고할 만하다. 고객 편의성과 정보보안 수준을 함께 고려하면서, 책임 주체를 보다 명확히 하려는 흐름 자체는 바람직한 측면이 있다.

준비없는 급격한 정책 추진, 현장에서는 정책 아닌 ‘통보’
문제는 이러한 전환이 어떤 방식으로 추진되고 있는가에 있다. 현재 정책은 이미 올해 예산이 확정된 시점에서 단기간 내 전환을 요구하는 방식으로 받아들여지고 있다.

정보보안 시스템은 단순한 소프트웨어 교체가 아니라 조직의 인프라, 운영 체계, 인력 구조와 맞물린 대표적인 고정 자산이며, 금융 시스템 특성상 안정성과 연속성이 무엇보다 중요하게 요구되는 영역이다. 충분한 준비 기간과 현실적인 전환 계획 없이 정책이 추진되면 현장에서는 정책이라기보다 ‘통보’로 받아들여질 가능성이 크다.

또, 공공·금융권 사업은 연 단위 예산과 계획에 따라 움직이는 구조로 이미 수립된 사업 계획과 충돌할 경우 정책의 실효성 자체가 떨어질 수 있다. 결국 현장에서 제기되는 문제의 핵심은 기술의 타당성보다는 정책 설계 과정의 소통 부족, 전환 과정에 대한 고려 부족에 있다.


7조원 규모 정보보호 시장, 생존을 흔드는 ‘속도전’의 딜레마
이 지점에서 국내 정보보호 산업의 구조를 함께 살펴볼 필요가 있다. 한국정보보호산업협회(KISIA)가 발간한 ‘2025년 정보보호산업 실태 조사’에 따르면 지난 2024년 기준 국내 정보보안 시장은 약 7조원 규모로 이 중 70% 이상이 보안 솔루션, 즉 제품 매출이다.

네트워크 보안과 엔드포인트 보안, 데이터 보안 등 주요 영역 대부분은 전통적인 설치형(On-premise) 기반 기술로 형성되어 있으며, 기업 매출의 약 74%가 자체 제품 판매에서 발생하고 있다. 이 부분은 현재 보안 산업이 서비스 중심이 아니라 제품 중심, 그리고 설치형 소프트웨어 중심 구조라는 점을 보여준다.

다시 말해 현재 정책이 대상으로 삼고 있는 설치형 정보보안 소프트웨어는 단순한 기술 선택의 문제가 아니라 수조원 규모 산업의 핵심 기반이며, 다수 기업의 수익 구조를 지탱하는 축이다. 이러한 구조를 충분히 고려하지 않은 정책 추진은 현실과 어긋날 수밖에 없으며, 의도와 달리 산업 전반에 예상치 못한 영향을 줄 가능성을 배제하긴 어렵다.

‘정보보호산업의 진흥에 관한 법률’(이하 진흥법) 역시 이러한 점을 전제로 한다. 진흥법은 정보보호산업의 기반을 조성하고 경쟁력을 강화하는 것을 기본 목적으로 삼고 있으며, 국가의 책무로 산업의 건전한 발전을 위한 시책 수립을 명시하고 있다. 또, 관련 정책은 중장기적 계획에 따라 체계적으로 추진되어야 함을 전제로 한다.

입법 취지를 고려하면 충분한 준비와 협의 없이 추진되는 급격한 전환은 산업 경쟁력 강화보다는 기존 기반을 약화시키는 방향으로 작용할 가능성도 있다. 정책이 산업의 방향을 바꾸는 수준이 아니라 산업 전반에 부담으로 작용할 수 있다는 점을 고려해볼 필요가 있다. 정책은 방향만으로 평가되는 것이 아니다. 그 방향이 어떤 과정과 속도로 구현되는가에 따라 결과가 달라질 수 있기 때문이다.

단일 솔루션 교체가 아닌 전면 재설계... FDS 역시 만병통치약은 아니다
여기서 간과하기 어려운 요소가 하나 더 있다. 바로 시간이다. 정보보안 체계는 단기간에 교체할 수 있는 일반 IT 시스템과는 성격이 다르다. 금융권 특성상 수년 단위로 구축된 시스템이 서로 긴밀하게 연결되어 운영되고 있으며, 단일 정보보안 솔루션의 변경만으로도 전체 시스템 안정성에 영향을 줄 수 있는 구조다.

이러한 환경에서 정보보안 체계 전반의 방향 전환을 요구하는 것은 단순한 기술 도입이 아니라 시스템 전반을 다시 설계하는 작업에 가깝다. 이 과정에는 충분한 검증과 단계적 적용이 필수적이다. 또, 정책 변화는 금융기관뿐 아니라 관련 산업에도 직접적인 영향을 미친다.

보안 제품을 개발하고 공급하는 기업들은 일정한 시장 수요를 전제로 연구개발과 인력 투자를 진행해 왔다. 정책 방향이 급격히 바뀌면 기존 투자 구조가 흔들리고 신규 투자 역시 위축될 가능성이 있다. 단기적으로는 기업 경영의 불확실성을 높이고, 장기적으로는 산업 전반의 기술 경쟁력에도 영향을 줄 수 있다. 국내 정보보호 산업은 중소·중견기업 비중이 높은 구조라는 점에서 이러한 변화의 영향이 더 크게 나타날 수 있다.

서버 중심 정보보안 체계 역시 모든 문제를 해결할 해법은 아니다. 다중 인증과 이상금융거래탐지시스템, 제로트러스트 기반 모델은 기존 방식의 한계를 보완할 수 있는 수단이지만, 고도화된 운영 역량과 지속적인 데이터 분석 체계를 전제로 한다. 특히, 이상금융거래탐지시스템은 데이터 축적과 분석 모델의 정교함이 핵심이기 때문에 도입만으로 즉각적인 효과를 기대하기는 어렵다. 초기에는 오탐이나 사용자 불편과 같은 새로운 문제가 나타날 가능성도 존재한다.

결국 중요한 것은 특정 방식을 선택하는 것이 아니라 다양한 정보보안 수단을 어떻게 조합하고 단계적으로 적용할 것인가에 대한 전략이다. 기존 설치형 정보보안 체계와 새로운 방식은 일정 기간 병행되면서 점진적으로 전환되는 것이 현실적인 접근이다.

속도보다 중요한 것은 ‘정교한 설계’와 ‘병행 전략’
정보보안의 책임을 사용자 PC에서 금융사로 이전하려는 흐름 자체는 바람직한 측면이 있다. 이러한 방향성은 사용자 편의성과 책임 구조의 명확화에 따른 유의미한 변화가 기대된다. 그러나 중요한 것은 ‘무엇’을 바꾸냐보다 ‘어떻게’ 바꿀 것인가다.

설치형 정보보안 소프트웨어를 기반으로 성장한 국내 보안 기업에 이번 변화는 단순한 기술 흐름의 변화가 아니라 비즈니스 모델 자체를 다시 설계해야 하는 요구이며, 매출 구조, 연구개발 방향, 조직 운영까지 영향을 미치는 변화다. 일부 기업은 새로운 기회를 얻을 수 있지만, 동시에 많은 기업이 대응하기 쉽지 않은 과제가 될 수 있다. 급격히 진행될 경우, 생존 문제로까지 이어질 수 있다. 정책이 산업을 이끌 수는 있지만 산업의 기반을 단기간에 대체하기는 어렵다.

따라서 지금 필요한 것은 속도가 아니라 설계다. 기존 시스템과 새로운 정보보안 체계가 일정 기간 함께 운영될 수 있도록 하는 △병행 전략 △현실적인 단계적 전환 계획 △기업이 변화에 대응할 수 있도록 돕는 기술적·재정적 지원 그리고 정책 초기 단계부터 산업과 충분히 소통하는 과정이 필요하다. 이러한 요소 없이 추진되는 정책은 현장에서 혼선을 낳고, 결국 정책의 취지와 다른 결과로 이어질 수 있다.

정보보안 정책은 단순한 기술 정책이 아니다. 그 정책은 수천 개 기업과 수만 명의 종사자, 그리고 수조 원 규모의 산업 생태계에 영향을 미친다. 따라서 정책의 완성도는 기술적 타당성뿐 아니라 현장 수용성, 산업 구조와의 정합성, 전환 과정의 현실성까지 함께 고려해 평가되어야 한다.

이번 설치형 정보보안 소프트웨어 축소 정책 역시 많은 공감대를 얻고 있는 것이 사실이다. 방향 자체는 분명 타당하다. 다만, 속도에 대한 고민은 필요하다. 아무리 올바른 방향이라 하더라도 과도한 속도는 예상치 못한 부작용을 초래할 수 있기 때문이다. 정책이 의도한 효과를 온전히 거두기 위해서는, 방향뿐 아니라 그에 이르는 과정 또한 충분히 정교하게 설계되어야 한다.

[글_이아람 기술사/한국정보공학기술사회]

필자소개
-한국정보공학기술사회 미래융합기술원 보안분과 부원장
-정보관리기술사, 정보시스템 수석감리원, ISMS-P 인증심사원, 개인정보 역량평가 전문인력

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>