사원 PC 점검후 부서별 보안점수 공개...보안경각심 고취

“처음부터 강력한 보안정책 실시...불편함에 익숙해지도록”

금융감독원의 보안대책이 솔루션 위주에서 기업에서 반드시 이행해야하는 보안정책 위주로 바뀌었다. 즉 솔루션만 도입해서는 원활한 보안체계가 이루어질 수 없다는 판단하에 금융기관의 내ㆍ외적인 부분에 강력한 보안성을 요구하고 나선 것이다.

특히 사이버상에서 이루어지는 금융거래규모가 날로 늘어나고 있고 모바일이나 TV등 이전에는 어려웠던 금융거래매체들이 속속등장하면서 금융권에서는 종합적인 보안대책을 세우지 않으면 대형사고를 면하기 힘들 지경에 이르렀다.

금융보안사고는 다른 보안사고와는 달리 고객에게 직접적인 피해를 발생하기 때문에 금융권에서는 여전히 부족하지만 예전에 비해 보안투자를 늘리고 있는 상황이다. 또한 사이버거래는 금융권에 많은 이익을 창출케 해주는 보고다. 향후 사이버거래의 안전성을 확보하는 기업만이 금융시장의 강자로 살아남을 전망이다.

굿모닝신한증권 시스템지원부 김춘식 과장은 “6월말까지 금감원에서 요구한 보안의무 사항들을 대부분 완료한 상태다. 7월부터는 대부분 보안프로그램 적용이 가능하다. 다만 키보드보안 문제는 지난해 12월말에 도입해서 일부장비에 테스트과정을 거쳤지만 여러 가지 오류가 발생해 다시 내린적이 있다”며 “키보드보안 프로그램이 HTS이용시 고객PC와 맞지 않는 경우가 많이 발생했다. 키 입력이 이상하게 나와 패스워드에 오류가 발생하거나 암호해독이 잘못되는 등 어려움이 있었다”고 말했다.

금감원, 보안의무사항 대부분 완료상태

고객PC의 다양성 때문에 적용에 어려움

굿모닝신한은 HTS상에서 발생하는 키보드보안 문제해결점을 찾아 이번주 내로 키보드보안을 적용할 방침이라고 한다. 현재 국내 키보드보안 기술수준에 미흡한 점이 많기 때문에 증권사에서는 대부분 어려움을 겪고 있으며 해당 기업별로 새롭게 커스터마이징해서 적용하고 있는 실정이다.

특히 금감원에서 제시한 PC방화벽, 키보드보안, 바이러스백신 프로그램 등은 고객 서비스차원에서 적용하는 것이 바람직하지만 실재 업무를 담당하고 있는 증권사 보안담당자들은 난감해하고 있다.

이들 SW들을 적용하는데 있어 수많은 종류의 고객PC사양에 맞춰 별다른 장애없이 적용한다는 것이 쉽지만은 않다는 견해가 대부분이다. 굿모닝신한 김춘식 과장은 “고객 PC특성에 맞추기가 힘들다. 또한 키보드 종류가 너무 많아서 키보드보안 프로그램 맞추기가 제일 힘든 것 같다. 그래서 우리 기업에 맞게 최적화해서 적용할 생각”이라고 밝혔다. 금감원도 이부분을 충분히 알고있는 터라 증권사의 보안적용에는 어느정도 유예기간을 주고 있는 형편이다.

증권사 대부분 OTP도입은 금감원 OTP통합기구가 결성되면 동참한다는 분위기다. 굿모닝신한도 자체적으로 개별 인프라를 구축하는 것보다 비용적인 문제나 이용상 편의성을 고려해 통합기구를 이용한다는 방침을 세워놓고 있다.

하지만 김 과장은 “OTP통합기구를 위해 각 증권사별로 자금을 각출해 구성해야하는데 여전히 보안카드를 많이 쓰고 있는 상황에 일반인들이 OTP사용을 꺼린다면 돈은 돈대로 들고 이용가치가 없다면 문제가 될 수도 있을 것”이라고 의문을 제기했다.

실제 OTP업체들은 증권사 보다는 은행권을 중심으로 활발한 물밑 영업작업을 진행하고 있는 중이다. OTP통합기구가 결성되면 고객들은 하나의 OTP단말기로 은행과 증권사등에 모두 사용할 수 있기 때문에 대부분 OTP사용자들은 은행에서 발급받는 경우가 많을 것으로 예상되기 때문이다.

또한 굿모닝신한증권은 고객정보보호를 위해 DB에 있는 고객데이터를 암호화하고 있고 출력시 통제등 향후 더욱 강력한 DB보안툴을 적용할 예정이다.

김 과장은 “사내에서 매달 보안의 날을 지정해 각자 자신의 PC를 점검하고 점검 결과를 그룹웨어에 올리도록 하고 있다. 또 보안팀에서 한번더 직접 PC들을 점검해 개인이 낸 점수와 비교 후 부서별 보안점수를 모든 사원이 볼 수 있도록 공표하고 있다”고 말했다.

이를 통해 사내 PC의 보안상태가 완벽에 가깝고 바이러스 침투도 단발성에 그치고 크게 확산되는 경우는 거의 찾아볼 수 없게 됐다고 한다.

특히 보안담당관인 김 과장은 “보안은 처음부터 강력하게 시행하는 것이 옳다고 본다. 어차피 직원들의 반발이 많은 것은 마찬가지다. 처음부터 강력하게 시행하다보면 점차적으로 그 불편함들에 익숙해지면서 직원들이 동화되는 것을 볼 수 있었다”고 밝혔다.

모의 바이러스 대응 테스트도 실시하고 있다. 김 과장은 매달 하루를 정해 모의 바이러스를 제작해 전 사원에게 메일로 보내고 메일을 열지 않고 삭제하면 합격이고 메일을 열어보거나 파일실행까지 한 직원에게는 감점을 처리해 분기별로 부서에 점수를 공지하는 등 사원들이 보안경각심을 늦추지 않도록 하고 있다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>