금융회사 정보보호환경 변화에 선제적 대응에 주력할 것

금융결제원(원장 김수명) 금융ISAC실이 지난 1월 28일자로 금융정보보호센터로 이름을 바꾸고 업무와 기능을 강화했다. 이는 자본시장통합법 시행, 신바젤(New Basel)협약 적용 등 새로운 제도 도입에 따른 금융회사 정보보호환경 변화에 선제적으로 대응하고 비은행 금융회사의 지급결제시스템 참가, 인터넷전문은행 설립 등으로 예상되는 새로운 정보보안위험을 효율적이고 체계적으로 관리할 수 있도록 금융정보보호센터로의 조직 정비에 나선 것. 이 곳의 수장을 맡고 있는 조화제 금융정보보호센터장은 “이제 우리 센터는 명실공히 금융부문 정보보호의 중심으로서, 관련 정보의 공유, 소통 및 침해사고 대응의 허브로서 자세와 위상을 새롭게 다져나갈 것”이라고 말했다.

금융결제원의 금융ISAC은 정보통신기반보호법 제16조(정보공유·분석센터)에서 규정한 정보공유·분석센터로서 금융분야 정보통신기반시설을 해킹, 컴퓨터바이러스 등 전자적 침해로부터 보호하기 위해 2002년 12월 정부로부터 승인을 받아 본격적인 업무를 시작했다. 현재는 17개 국내은행과 새마을금고연합회에 대한 정보보호서비스를 제공하고 있고 기획, 기술, 평가, 대응, 지원 등 체계적인 조직을 갖추고 있다.

지난 27년간 금융결제원에서 다양한 업무를 추진해왔던 조화제 금융정보보호센터장은 “지금까지 금융ISAC은 보안정보공유, 취약점분석평가, 실시간보안관제 및 예·경보 등, 법에서 규정하고 있는 업무를 차질 없이 수행해왔다”며 “다년간의 업무 수행을 통해 축적된 전문지식과 기술 노하우를 금융회사 정보보호수준 향상을 위해 금융회사와 공유하고 있으며 금융회사 정보보호 관련 니즈에 적극 부응하기 위해 2~3년 전부터 금융회사에 대한 정보보호 교육서비스를 제공하고 있고 금융회사의 만족도도 높은 편”이라고 말했다.

특히 정보공유 서비스는 최신 보안위협 정보(취약점, 웜·바이러스, 전자적 침해 예·경보 발령 등), 금융회사 공격 탐지·분석 정보(공격 탐지 및 대응 정보, 기술문서 등) 및 최근 정보보호 동향 정보(정보보호 뉴스, 정보보호 교육 정보 등) 등을 수집·분석하여 다양한 주기와 형태로 각각의 금융회사에 적합하게 제공하는 것이다. 또 실시간 보안관제 및 예·경보 서비스는 직접 금융회사의 인터넷 등 네트워크에 IDS나 DoS공격 탐지시스템을 설치하여 365일 24시간 연중무휴로 금융회사에 대한 전자적 침해 징후 등을 실시간으로 탐지·분석하여 침해 징후 발견시 신속하게 대응 조치하고 위협 정도에 따라 예·경보를 발령, 금융회사 자체적으로 침해사고에 대비할 수 있도록 지원한다.

취약점 분석·평가 서비스는 인터넷뱅킹시스템 등 금융회사의 정보통신기반시설에 대한 보안 취약점을 사전에 분석·평가하여 현장에서 필요한  긴급 보완 조치를 실시하고 금융회사가 실제적인 보호대책을 수립·시행할 수 있도록 지원한다.  

이 외에 정보보호교육서비스는 금융회사 임·직원을 대상으로 집합교육, 실습교육, 출장교육 등 금융회사가 원하는 교육방식으로 금융회사 임직원의 정보보호 인식제고 프로그램으로부터 개발·운영직원에 대한 정보보호 대응기술 실무까지 다양한 교육프로그램을 개발·제공하여 전반적인 금융회사의 정보보호수준 향상 및 침해사고 대응능력을 제고한다.

한편 현재 국내 금융분야 ISAC은 사이버 금융의 핵심 분야이자 전자적 침해 위협이 가장 높은 은행과 증권을 중심으로 구축되어 지급결제서비스와 은행분야는 금융결제원에서, 증권분야는 코스콤에서 정보통신기반보호법에 따라 운영하고 있다.

보안은 “무엇”보다 “누구”에 초점 맞춰야

조화제 센터장은 “최근 발생하고 있는 전자적 침해사고를 살펴보면 특히 금융회사 대상 사고의 경우 ‘무엇(What)을 보호해야하나?’ 보다는 ‘누구(Whom)를 보호해야 하나?’에 정보보안의 초점을 맞추어야 할 것”이라고 말했다. 그는 미국의 정보보안전문가인 브루스 슈나이어(Bruce Schneier)가 그의 저서 ‘Secrets and Lies’에서 “Security is a chain; it’s only as secure as the weakest link”라고 했다고 언급한 뒤, 즉 네트워크화된 사회에서 정보보안이란 사슬처럼 연결되어 있어서 가장 취약한 연결 부분의 정보보호수준을 넘을 수 없다는 것을 강조했다.

그는 특히 최근 발생한 금융회사에 대한 정보유출사고의 표적이 바로 보안에 대해 적극적으로 투자하기 어려운 상호저축은행이나 신용협동조합 등 중·소형 금융회사라는 사실은 브루스 슈나이어의 말이 현실 속에서 어느 정도 설득력이 있음을 보여주고 있다는 것을 강조한 것.

또한 조 센터장은 “중소형 금융회사에 대한 정보보안의 강화 없이는 은행, 증권사 등 대형 금융회사에 대한 정보보안 투자가 소기의 성과를 거두기 어려울 뿐만 아니라 보안이 취약한 중소형 금융회사가 또 다른 새로운 보안 위협이 될 수 있음을 보여주고 있다”며 “국가 전체적으로 금융권 전반적인 정보보호 수준 향상을 위해서는 중소형 금융회사의 정보보안 강화가 선결되어야 한다”고 강조했다.

그는 또 최근 해킹이나 정보 유출의 동기가 바로 경제적인 것에 기인하고 있다는 것을 주지시키며 아직까지 금융회사 내부직원에 의한 정보유출 사고가 거의 보고되지 않고 있지만 금융회사 IT업무와 대고객 전자금융서비스가 급속하게 아웃소싱 되어 가는 추세이고 금융회사 보유정보의 경제적 가치가 여타 정보에 비해 상대적으로 높은 점을 감안해 볼 때 내부자에 의한 고객정보와 금융정보 유출을 방지하기 위한 내부통제시스템의 강화가 필요할 것으로 생각된다고 말했다.

그리고 금융회사를 이용하는 고객, 금융회사에 근무하는 직원들, 그리고 금융회사를 경영하는 CEO를 비롯한 임원을 대상으로 한 정보보호에 대한 인식 제고 및 교육이 시급하다고 지적했다. 즉, 금융회사 이용 고객이 자신의 PC에 설치된 운영체계나 각종 보안프로그램을 신속하게 최신 보안패치로 업데이트만 하더라도 개인정보 유출에 대한 대부분의 취약점을 제거할 수 있다는 것. 따라서 정보보호프로세스를 계획, 관리, 운영하는 이해 당사자들의 정보보호 마인드가 무엇보다도 중요하고 그러기 때문에 정보보호교육을 통한 인식 제고 노력이 지속적으로 강화될 필요가 있다고 강조했다.

금융정보보호, 보안 시스템 도입이 끝은 아니다

조 센터장은 국내 금융분야의 정보보호수준은 여타 부분에 비해 상대적으로 높은 수준이라고 말한다. 그렇지만 그는 “금융회사 이용 고객들은 좀 더 안전하고 신뢰할 수 있는 전자금융서비스 환경을 원하고 있기 때문에 지속적으로 개선요인을 발굴·보완해 나갈 필요가 있다”고 지적했다. 즉, 국내의 정보보호가 지나치게 정보보호기술이나 정보보호시스템 자체에 의존하고 있다는 것. 대부분이 정보보호시스템만 도입하면 정보보호가 끝났다고 생각한다는 것이 문제라는 것이다. 이미 설치되어 있는 수많은 정보보호시스템에도 불구하고 여전히 침해사고는 증가하고 있다.

그는 또 “이에 반해 조직의 목표와 정보보호목표를 연계한 체계적이고 효율적인 정보보호정책 수립과 이의 시행에 필요한 조직, 인원, 관리체계 구축 등 정보보호 거버넌스는 상대적으로 취약한 것 같다”고 말했다. 이는 국내에 정보보호최고책임자(CISO)를 보유하고 있는 금융회사가 거의 없고 정보보호인력과 정보보호예산 역시 미국 등에 비해 상대적으로 적은 등 금융회사가 자율적으로 정보보호를 수행할 수 있도록 지배구조가 강화될 필요가 있다는 지적이다.

조 센터장은 “정보보호를 기업 생존의 필수적인 전략적 수단의 하나로 인식하고 적정수준의 조직과 인력 및 예산을 확보하고 체계적이고 합리적인 의사결정체계를 통해 정보보호를 통한 기업가치 극대화를 도모할 수 있도록 정보보호최고책임자(CISO)제도 도입 등 금융회사 정보보호 통제구조가 개선돼야 한다”고 말했다.

아울러 사이버 금융 대란 대책에 대해 조 센터장은 “국가적으로 금융위원회가 주관하여 은행과 증권을 중심으로 자연재해, 인위재난, 기술적 장애, 전자적침해의 4대 위기 유형에 대해 ‘금융전산분야 위기관리 매뉴얼’을 마련·시행하고 있다”면서 “이를 토대로 개별 금융회사들 역시 자체 매뉴얼을 작성하여 사이버 금융 대란의 사전 예방과 발생시 피해를 최소화하고 신속하게 복구하기 위한 대응체계를 갖추고 있다”고 밝혔다.

그는 또 “평소 금융회사들은 정보보호에 대한 투자를 통해 해킹 등의 사이버 위협에 대응하기 위한 체계를 갖추고 지속적인 취약점 평가 및 위협요인을 제거해 정보보호 수준을 향상시켜야 하며 사용자에게 정보보호의 중요성과 사용자가 대처해야 할 사항들을 교육해야 한다”고 덧붙였다. 한편 금융결제원 금융정보보호센터는 참가기관과 매년 침해사고 모의 대응훈련을 실시하고 있으며, 만에 하나 사이버 금융 대란이 발생한다면 국가에서 수립한 사이버 위기 대응 절차에 따라 신속히 대응·조치하게 된다.

특히 사이버 금융의 마비는 국가경제에 큰 타격을 입힐 뿐만 아니라 자칫 국가존립에 까지 영향을 줄 수 있는 중대한 사안이기 때문에 정부에서도 사이버 금융의 정보통신기반을 국가핵심기반으로 인식하고 이를 보호하기 위한 보호대책을 수립하고 있다고 설명했다. 미국의 경우 9.11 테러 이후 사이버 보안 수행체계를 개편하여 차세대 금융ISAC 모델을 개발·적용함으로써 전 금융회사가 거의 참여하는 사이버공간과 물리적공간을 포괄하는 명실상부한 통합정보공유분석센터로의 기반을 구축했다는 것.

조 센터장은 “국내 금융ISAC은 은행, 증권사 중심으로 운영되고 있어 상호저축은행, 신용협동조합 등 비회원사에게는 금융ISAC의 업무를 제공할 수 없어 양질의 고급정보와 전문기술력 및 지식노하우를 전달할 수 있는 경로가 차단되고 이로 인해 실질적인 침해사고 대응역량 약화를 초래하고 있다”고 말했다. 그리고 “비회원사도 금융ISAC에 참여하여 필수적인 기본서비스를 제공받을 수 있도록 금융ISAC 참여 독려가 필요하고 국내 금융회사 이용고객의 경우 한 금융회사만 거래하는 것이 아니라 상호저축은행 등 중·소형 금융회사를 포함하여 여러 금융회사를 이용하므로 한 금융회사에서 정보가 유출되거나 보안이 취약할 경우 다른 금융회사로 영향이 파급될 수 있어 국가차원에서의 금융회사 공동대응체계를 구축할 필요가 있다”고 강조했다.

공동보안관제시스템 개선·DDoS 공동대응 시스템 구축

금융결제원의 금융정보보센터에서는 최신 해킹 기법과 공격 패턴 등을 실시간으로 탐지하여 금융회사가 신속하게 대응할 수 있도록 기존의 금융ISAC 공동보안관제시스템의 성능을 개선하는 한편, 최근 이슈가 되고 있는 금융회사 대상 DDoS 공격을 탐지하여 차단할 수 있는 DDoS 공동대응시스템을 새롭게 구축하여 운영하고 있다.

조 센터장은 “이 외에도 개인정보의 불법 저장이나 유출, 최신 웹기반 금융서비스에 대한 취약점, 새롭게 등장하고 있는 모바일기반 금융서비스에 대한 위협요소 등을 사전에 파악하여 금융회사가 필요한 보호대책을 수립할 수 있도록 금융회사의 정보통신기반시설에 대한 취약점 분석평가 방법론을 개선하여 올해 취약점분석평가부터 적용하고 있고 금융회사의 침해사고 예방역량을 제고하기 위해 참가기관의 의견을 적극 수렴하여 금융회사의 IT환경과 금융 정보보호 환경에 특화된 보안프로그램을 개발할 예정”이라고 밝혔다. 이에 따라 최근에는 모바일 무선 취약점 평가 요원과 모의공격 및 점검도구 개발을 위한 소프트웨어 개발 인력을 강화했다.

아울러 매년 금융회사와 공동으로 실시하고 있는 침해사고 대응 모의훈련을 통해 해킹이나 DDoS 공격 상황을 설정하여 모의 침투나 가상 공격을 실시함으로써 유사시 금융회사의 침해사고 대응능력 제고에도 적극 힘쓸 계획이다.

또한 신용카드 이용고객의 불신에 대한 질문에 조 센터장은 “신용카드 이용자의 불신은 사용한 신용카드 정보가 유출될 수 있다는 심리적 불안으로부터 출발한다”며 “이러한 불신을 극복하기 위해서는 기술적, 제도적, 관리적 측면에서 다양한 대책들이 종합적으로 고려되어야 할 것”이라고 말했다. 기술적으로는 복제가능성이 큰 신용카드, 즉 현행 MS카드보다는 IC칩 등 보다 안전한 매체를 확보할 필요가 있고 PCI DSS(Payment Card Industry Data Security Standard)처럼 한국형 PCI DSS, 즉 지급결제카드의 정보보안에 대한 표준 가이드라인을 마련하고 이를 신용카드시장 참여자들이 의무적으로 준수하도록 할 필요가 있다는 것이다. 그는 또 “신용카드 이용고객 역시 신용카드사에서 요구하는 보안요구사항(바이러스 백신 업데이트, 윈도우 및 브라우저 보안 업데이트, 보안프로그램 설치 등)를 철저히 이행하여 본인의 PC로부터 각종 카드정보가 유출되는 것을 막는 노력 역시 병행되어야 한다”고 강조했다.

전문 인력 양성위한 정보보호 교육프로그램 필요

최근 문제가 되고 있는 정보보호 전문인력 문제에 대해 조화제 센터장은 “정보보호 전문인력은 변호사, 회계사 등처럼 전문지식과 전문노하우를 가지고 수행해야 하는 전문가로서 인식 되어져야 한다”며 “현재 3D업종으로 인식되고 있는 국내 정보보호 전문인력들이 자부심을 가질 수 있도록 사회적인 환경이 조성되어야 할 것”이라고 말했다. 그러기 위해서는 정보보호안전진단이나 취약점분석평가 등 극도로 전문성이 요구되는 정보보호분야에 대해서는 국내외 공인 받은 정보보호전문가만이 수행할 수 있도록 제도적 장치를 마련할 필요가 있다는 것.

그리고 정보보호 전문인력에 대한 시장의 확대가 필요하다고 말했다. 정보보호 전문인력에 대한 안정적인 수요가 보장되지 않기 때문에 정보보호 전문인력이 부족하거나 일반적으로 개발이나 운영자 등 타분야 종사자가 겸임하고 있는 부분을 지적했다. 이러한 환경에서는 정상적인 정보보호업무 수행에 지장을 초래할 수 있으므로 최소한의 정보보호 전담인력을 확보할 수 있도록 유도해야 한다는 것. 때문에 새로운 시장 확대에 따라 늘어나는 정보보호 전문인력을 체계적으로 양성하고 지속적으로 유지 관리할 수 있는 정보보호 교육프로그램이 필요하다는 것이 조 센터장의 의견이다.

아울러 그는 “정보보호서비스라는 것이 마치 국가안보, 국방서비스처럼 공공재 성격을 지니고 있어 개별 금융회사의 독자적인 정보보호 강화도 필요하겠지만 정보보호 과소투자의 여지가 크고 이로 인해 실질적인 효과를 거두지 못하는 결과를 초래할 수 있으므로 정부중심으로 금융권 전반적인 정보보호수준을 향상시키기 위한 금융정보보안체계 확립이 요구된다”고 강조했다.

<글 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제102호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>