고대 이동훈 교수, 금융 사이버보안 콘트롤타워 논의 필요성 제기

[보안뉴스 김태형] 최근 전자금융거래에 대한 공격에 즉각적 대응이 어려울 정도로 다각화된 공격 유형들이 등장하고 있는 가운데 금융권 보안사고는 동일한 보안 위협이기 때문에 금융권 실무자들을 중심으로 협의체를 구성하고 정보공유의 장을 마련해야 한다는 주장이 제기됐다.

이동훈 고려대학교 정보보호대학원 사이버국방학과 교수는 6일 개최된 금융정보보호 세미나에서 ‘금융 IT 보안 이슈 및 대응현안’이라는 주제로 발표를 진행했다. 그는 “금융권 사이버 테러 대응방안 모색을 위해 금융권 사이버 안보 거버넌스를 확립하고, 지난 금융권 DDoS 공격과 전산망마비 사태를 거울 삼아 금융 사이버 보안 콘트롤 타워를 논의하고 취약점과 위협정보를 금융권 내에서 효과적으로 공유해야 한다”고 말했다.

또한 그는 “금융위원회, 금융감독원, 금보연, 기타 금융 기관들 간의 명확한 사이버 보안 역할과 책임를 정의할 필요가 있다”고 강조했다.

그리고 사이버 테러 예방을 위한 금융기관의 평판 관리 및 윤리·투명 경영을 위해 금융기관 자체의 투명성과 윤리성을 강화함으로써 핵티비즘 등의 공격을 사전 예방해야 한다고 덧붙였다.

최근 전자금융거래는 거래량의 증가와 서비스 채널의 다양화로 인해 보안위협도 증가하고 있다. 이에 전통적인 대면 거래에 비해 금융사고 위험이 증가하고 있고 전자결제 수단의 다양화로 인해 금융소비자들의 피해가 우려되는 상황이다.  

이 교수는 “최근 금융결제원의 금융 IT 정보보호동향 예측 조사결과 목표대상이 명확한 조직적 범죄가 최대 이슈로 뽑혔고 그 다음이 스마트폰 등의 모바일, 악성코드, SNS 순서였다”고 설명했다.

그리고 이러한 금융보안 이슈는 크게 두 가지로 정리할 수 있는데, 이는 해킹이나 내부자에 의한 내부정보 유출과  금융정보를 절취하거나 조작하는 이용자 대상의 공격이라는 것.

내부정보 유출은 금융거래정보나 고객의 개인정보 등이 금융회사의 내부정보가 해킹되거나 내부자의 관리 부주의, 위탁관리자의 악의적인 행위 등으로 발생한다. 그리고 이용자 대상의 공격은 악의적인 공격자가 이용자의 금융정보를 절취하거나 조작하여 금전적인 피해를 발생시키는 경우로 나누어 볼 수 있다.

이는 스마트 환경에 따른 전자금융거래의 증가로 인한 보안위협이 증가하고 있지만 금융 IT 보안에 대한 인식이 부족해 이용자들의 부주의로 발생하는 경우가 대부분이다.

이 교수는 금융기관의 정보보호 차별화를 위해서는 “고객 단말의 보안 선택권을 보장해 전자금융 감독규정의 보안 프로그램 설치를 해제하고, 보안 서비스 해제 시에는 이용자의 동의와 함께 이 경우 무과실 책임이 적용되지 않도록 계약법적 해결 방안이 필요하다”고 말했다.

또한, 그는 “금융기관의 개인정보보호 및 포렌식 기능을 강화해 개인정보침해 사고 시 금융기관의 입증 책임을 확립하고 금융 시스템의 디지털 증거 확보를 위한 디지털 포렌식의 준비도 고려해야 한다”고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>