해킹방지위해 금융보안연구소 설립 확정...9월경 오픈예정

OTP 통합전담서비스기구 설립...올해 12월 예정

지난해 9월 금융감독원은 ‘전자금융거래 안전성 강화 종합대책’을 발표하고 전자거래를 실시하는 전 금융권에 의무사항과 권고사항을 만들어 이를 실시토록 하고 있다.

금융권 IT분야에 26년간이나 몸담아 왔고 현재 99년부터 줄 곳 금융감독원 복합금융감독실 IT감독팀에서 금융IT를 담당하고 김인석 팀장은 “기술적인 방어도 중요하다. 하지만 뚫리는 곳은 항상 의외의 상황에서 뚫린다. 기술적인 부분의 허술함으로 금융권이 해킹당하는 경우는 거의 없다. 문제는 이용자 본인이 직접 자신의 금융보안사항들을 전화상으로 이야기해준다는 점”이라고 밝혔다. 

김 팀장은 “금융보안도 개인의 보안의식 없이는 이루어질 수 없다”고 강조하면서 “기술적으로 OTP(일회용비밀번호)가 일상화되면 아주 강력하게 금융보안이 실시될 것이다. 이용자들의 보안의식도 함께 높아져야 한다”고 말했다.

Interview

금융감독원 IT감독팀 김인석 팀장

 

<금융감독원 복합금융감독실 IT감독실 김인석 팀장>

 

“종합대책, 은행들 대부분 잘 이행하고 있다”

정보보호 예산, 전체 IT예산의 5%이상 맞출 것...권고

보안사고, 방어기술부족 보다는 보안의식 부재로 발생

지난해 발표한 ‘전자금융거래 안전성 강화 종합대책’이 현재 잘 시행되고 있다고 생각하는가?

의무사항들은 대부분 이행하고 있다. 법적 규정은 아니지만 은행 평가에 불리한 영향을 줄 수 있기 때문에 적극적으로 동참하고 있다. 또 보안강화하지 않으면 금융사고 터졌을때 해당 은행이 받을 이미지 타격은 크기 때문에 은행들 스스로가 준비를 철저히 하려는 분위기다. 종합대책 적용은 은행, 보험, 카드, 증권 등 어떤 금융사든 전자거래를 실시하려면 이행해야하는 사항들이다.

해킹방지대책, 어디까지 와 있나?

이를 위해 이번에 금융보안연구원을 조직했다. 초대원장으로 금감원 정성순 교수가 선임됐다. 이 연구원에서 향후 전자금융거래에 대한 해킹사고 예방 및 정보보호에 관한 정책을 개발하게 될 것이다. 지난해 5월 외환은행 인터넷 뱅킹 해킹사고를 계기로 정부가 설립을 추진해온 것으로 인력채용과 사무실 임대 등을 거쳐 9월 정식 개원할 예정이다.

또 KISA에서 해킹 공격프로그램을 개발하면 이를 실재 금융권에 시험가동해보고 은행이 이를 막을 수 있는지를 지속적으로 체크하고 있다. 현재까지 나와 있는 공격툴은 대부분 막아내고 있다. 하지만 은행이 준비하고 있는 방어툴은 대부분 비슷하지만 공격툴은 다양하고 항상 변화하고 있다. 일부 부족한 부분이 없다고는 말할 수 없지만 앞으로 금융보안연구원에서 많은 대안을 제시할 것이라고 본다.

금융권에서 보안에 대한 투자는 어느 정도이고 예전에 비해 의식수준은 어떤가?

아직도 부족한 실정이다. 그래서 정보보호 예산을 전체 IT예산의 5%이상을 맞추라고 권고 하고 있다. 이 권고사항은 내년부터 은행예산에 반영될 전망이다. 하지만 딱히 보안예산이라고 분류하는 것도 잘 안돼 있는 실정이다.

또 은행권에서는 주로 e비즈니스부와 IT팀으로 보안업무가 분산되는 경우가 있다. 은행별로 사업의 중요도에 따라 보안정책을 맡는다. 보안측면에서 보면 이를 통합하는 것이 가장 좋은데 은행별 특성을 고려해 강제할 수도 없는 부분이다.

의식은 많이 좋아진 편이다. 지난해 사고이후 금융권에서 보안인식이 높아졌으며 실질적인 투자도 하고 있다. 예전에는 보안좀 하자고 하면 거부부터 하고 나섰는데 요즘은 그렇지 않다. 

OTP 통합인증체계 전담 조직 구성은 언제쯤?

올해 12월 말까지 구축 예정에 있다. 이를 통해 은행은 투자비용이 줄고 이용자들은 하나의 OTP단말기로 여러 은행을 사용할 수 있다는 장점이 있다. 참여은행들이 투자를 하게 되고 은행들은 개별적으로 시스템을 갖춰야하는 부담을 덜게 된다.

하지만 통합체계 구축시 장애문제가 발생하면 전체 시스템에 문제가 발생할 수 있기 때문에 장애요인을 분석하고 백업조치를 강하게 하는 등 대책을 마련해 놓고 있다. 오는 12월부터 OTP가 본격 도입될 예정이며 1등급 보안을 위해서는 필수적인 장치라고 볼 수 있다. OTP기기는 은행별로 계약이 이루어질 것이다.

OTP단말기에 대한 개인부담은 어느 정도로 예상하고 있나?

일반인들의 비용부담을 최소화 하려고 한다. 현재 전체 비용의 1/5정도를 일반인들이 부담할 것으로 예상한다. 비용이 1만원이라면 일반인들은 2천원 정도를 부담하는 식이다.   

본인확인강화는 어떻게 준비하고 있나?

공인인증서 활용이다. 또한 주요정보 변경시에 SMS문자로 본인에게 해당 사실을 통보하고 이채시에도 보안카드와 OTP를 활용할 방침이다.

보안수준별 거래한도 차등적용 제도는 반응이 어떤가?

지금도 실시하고 있다. 일부 고객들의 항의전화도 온다. 대부분 이용시 불편함 때문이다. 1등급 보안수준은 아이디, 패스워드, 공인인증서, OTP사용까지 해야 한다. 1등급 개인인터넷 뱅킹이용자는 1회 1억원, 1일 5억원까지 거래가 가능하다. 하지만 이 수준에 미치지 못하는 2등급은 1회 5천만원, 1일 2억5천만원으로 거래가 제한되며 3등급은 1회 1천만원, 하루 5천만원의 거래밖에 할 수 없게 된다. 그래서 불편한 사항이 있을 수 있지만 보안수준을 높이기 위한 조치이기 때문에 어쩔 수 없다.

이외 금융권 보안과 관련 어떤 사항들이 있는가?

우선 내부통제 체계를 정비해 내부자의 정보유출을 차단하기 위해 노력하고 있고 자동화기기 보안을 위해 정보송수신시 암호화하고 있으며 기기 자체적으로 해킹에 대응할 수 있도록 프로그램을 설치하고 있다.

금융보안 좀더 발전하기 위해서 필요한 점이 있다면?

금융보안 전문가 집단의 양적 질적 수준이 높아져야 한다. 특히 금융보안 전문가 양성 프로그램이 없다보니 부족한 인력으로 과도한 업무를 하고 있고 만약 사고라도 터지면 직접적인 책임을 져야하기 때문에 이 분야 종사를 꺼리는 이유도 있다. 이러한 점을 감안해 경영자들은 금융보안 전문가들의 처우문제 제고에 좀더 신경을 써줘야 한다.

일반인들에게 인터넷 뱅킹을 이용할 때 당부할 사항이 있다면?

보안대책을 내놓으면 불평들을 한다. 하지만 직접 사고를 당한 당사자들은 보안수준을 더 높여달라고 요구한다. 이용시 불편함을 생각하기 보다는 자신의 자산을 보호하기 위한 수단으로 인식하는 것이 중요하다.

그리고 자신의 PC는 자신이 관리해야 한다. 백신프로그램을 설치하고 수시로 점검해야한다. 은행에서 모든 것을 해줄 수는 없는 일이다. 특히 은행사이트에서 실시하는 보안프로그램 설치는 적극 수용해줘야 한다. 잠시 PC가 느려진다고 해서 설치를 안한다든지 하면 곤란하다. 또 사고사례를 보면 대부분 자신의 비밀번호를 자신이 알려주는 경우가 대부분이다. 사장이 경리에게 비밀번호 알려주고 그 경리가 퇴사후 그 비밀번호로 돈을 인출하는 경우도 있다. 비밀번호 관리 철저히 해야 한다.

은행에서 본인에게 유선상으로 비밀번호를 물어보는 경우는 없다.

피싱사기도 조심해야 한다. 은행사이트는 직접 주소창에 주소를 치고 들어가는 것이 가장 안전하며 피싱을 통한 피해는 구조대책도 없다. 단 OTP가 도입되면 정보를 얻더라도 인출이 안되기 때문에 향후 피싱사고도 많이 줄어들 것으로 예상한다.

전자금융거래 보안, 어떻게 발전해 나가야 하나?

보안위협은 기술적인 부분보다는 사회공학적인 측면에서 공격이 증가할 것이다. 특히 사람들의 약점을 이용해 돈을 빼가는 것이 일반적이다. 해킹을 통해 얻은 정보로는 돈을 빼갈 수 없다. 반드시 본인 확인이 있어야 한다. 그래서 금융범죄자들은 계좌, 이름, 비밀번호 등을 해킹해서 알아낸 후 이를 이용해 당사자에게 은행원을 가장해 전화를 한다. 그러면 대부분의 이용자들이 속아서 보안카드 번호를 말해준다는 것이다. 은행직원은 어떠한 경우라도 전화로 정보를 물어보는 경우가 없다.

향후 전자거래는 더욱 활성화 될 것이다. 특히 새로운 매체의 전자거래가 활발해 질 것으로 보인다. 인터넷 뱅킹은 현재로도 포화상태다. 모바일이나 TV거래가 더욱 커질 것으로 보인다. 이런 경우도 이용자 본인의 보안의식만 철저하다면 큰 문제가 없을 것으로 예상한다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>