[보안뉴스 김경애] 최근 금융 IT환경은 인터넷 및 모바일 뱅킹 등의 전자금융거래가 급증하면서 각종 개인정보 유출, 해킹 등으로 인한 보안위협에 노출되고 있다. 특히, 3.20 사이버테러를 비롯해 그간 끊이지 않고 발생하는 금융사고로 인해 금융권에 대한 보안조치가 더욱 강화되어야 한다는 목소리가 커지고 있다.

이러한 잇따른 금융사고를 줄이기 위해서는 어떤 조치가 필요할까? 이와 관련 투이컨설팅이 주관한 ‘질문과 토론이 있는 Y세미나’에서 고려대학교 정보보호대학원 김인석 교수는 ‘금융권 보안 현재와 미래’란 주제로 최근 금융 IT환경과 그에 따른 보안대책에 대해 강연했다.

현재 금융 IT환경에 대해 김 교수는 전자금융거래 증가, 스마트폰 급증, 금융회사 책임강화, 해킹, 내부직원에 의한 정보유출 등의 문제를 지목했다. 

ID를 부여받아 은행에 등록된 전자금융거래 고객수는 2012년 9월말 기준으로  8,412만명으로 2011년말 대비 15.4% 증가했다. 이에 대해 김 교수는 “전자금융거래는 금융사 직원이 직접 개입하지 않고, 계약서를 작성하지 않는 비서면 거래방식으로 이뤄지기 때문에 사고가 발생기면 해결하기 쉽지 않아 무엇보다 이용자의 예방이 중요하다”며 “인터넷뱅킹을 이용할 경우, 잔고를 100만 원 이하로 설정하고, 고액 잔고 계좌 또는 마이너스 통장 같은 경우는 포함시키지 말 것”을 당부했다.

스마트폰의 경우도 마찬가지다. 2008년 이후 스마트폰 사용자가 급증하면서 대중화되었지만 새로운 공격에 대한 방어가 어렵다는 것. 이를테면 해커가 공격할 때 PC는 전원을 켜야 공격이 이뤄질 수 있지만 스마트폰은 언제 전화가 올지 모르기 때문에 전원을 끄기 어려워 공격에 노출되기 더욱 쉽다는 것이다.

또한, 해킹은 물론 시스템 전체를 마비시키는 사이버테러, 내부직원에 의한 정보유출, 지능형 지속공격(APT) 등 금융권을 타깃으로 한 잇따른 침해사고 발생으로 보안위협이 증대되고 있다고 덧붙였다. 이에 따라 정부는 2014년 1월부터 해킹 사고 시 금융회사가 배상책임을 져야 하는 법을 신설해 금융회사의 책임이 한층 강화될 전망이다.

이에 대비하는 금융보안 강화방안으로 김 교수는 “금융 IT 신뢰도를 제고하고 리스크를 최소화하기 위해서는 각 금융 분야 주체의 총체적인 노력이 필요하다”며 “금융당국은 보안 컨트롤타워 역할을 강화하는 한편, 금융권은 보안투자를 늘리고, 보안 인력 확보 등의 IT보안 역량 강화에 적극 나서야 하며, 금융권 전체 보안 거버넌스를 확립해야 한다”고 밝혔다.

그에 따른 구체적인 사항으로 김 교수는 △CISO 도입 의무화 △인력 및 예산 모범규정 이행 △전자금융 보안 강화 △ 보안취약 부문에 대한 대응 강화 등을 제시했다.

CISO도입 의무화를 통해 CISO 임명 및 IT 보안에 대한 경영진의 관심을 제고하고, CIO와 CISO간의 역할이 정립될 수 있도록 유도해야 한다는 것이다.

인력 및 예산 모범규정 이행과 관련해서는 IT 직원을 전체 직원의 5% 이상,  IT 보안인력을 IT 인력의 5% 이상으로 구성하고, IT 보안예산을 전체 IT 예산의 7% 이상으로 편성해야 한다고 설명했다. 또한, 프로그램 및 전산 원장 변경 통제 강화, 소스 프로그램에 대한 안전성 강화, 비상대책 등 정보기술부문 계획수립·운영과 함께 효과적인 내부통제가 이뤄져야 한다고 밝혔다.

전자금융 보안 강화 측면에서는 인터넷 뱅킹, 스마트폰 뱅킹 등 전자금융, 안전결제(ISP), 인증수단 등의 안전성을 강화해야 하고, 이와 함께 전자금융사기 예방시스템, 사고방지체계 등을 구축하며, 스마트폰 보안위협을 차단할 수 있는 다양한 앱이 개발되어야 한다고 덧붙였다.

아울러 금융사고 피해를 입지 않으려면 무엇보다 스스로 보호한다는 인식이 선행되어야 한다고 강조하며, 일례로 보안카드를 스마트폰으로 찍어서 저장하는 등의 행위는 심각한 보안위협이 될 수 있어 조심해야 한다고 당부했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>