‘대한민국 사이버 금융보안 현황과 발전방향’ 정책 세미나 개최

[보안뉴스 김태형] 인터넷의 급속한 보급 및 확산으로 사이버공간의 제한성이 사라지면서 정치, 경제, 사회, 문화 등 우리 사회 모든 부문에 걸쳐 사이버공간을 활용한 업무 의존도가 높아지는 반면, 사이버 보안에 대한 위협도 증가하고 있다.

특히, 금융권을 노리는 사이버 범죄는 중대한 사회 혼란을 야기시키며 우리의 재산을 직·간접적으로 위협하고 있어 매우 중요하다. 이러한 가운데 새누리당 하태경 국회의원, 한국정책개발연구원이 공동 주최하고 금융보안포럼, KAIST 정보보호대학원이 공동 주관한 ‘대한민국 사이버 금융보안 현황과 발전방향’ 정책세미나가 15일 오후 2시부터 국회 의원회관 제1세미나실에서 개최됐다.

이날 하태경 새누리당 의원은 인사말에서 “최근 사이버 보안 위협이 갈수록 증가하고 있으며 해킹을 이용한 개인정보 유출과 금융권 전산망 해킹에 의한 피해는 상상을 초월한다”면서 “이에 사이버 금융 보안대책 마련은 더 이상 미룰 수 없는 중요한 과제”라고 말했다.

또한, 그는 “사이버 금융보안에서 가장 중요한 것은 공격자를 찾아내 막아야 하는것인데 이러한 노력은 거의 없고 대문만 지키고 있는 것이 문제다. 또한, 국내 백신 시장에 외산 제품이 들어올 수 없는 구조적인 문제로 인해 취약점이 발생한다. 특히, 북한 해커 조직들은 국내 대표적인 보안회사를 제 집 드나들 듯이 들어와 최신 정보들을 빼내 국내 백신제품을 무기력하게 만들어 공격할 수 있는 기술을 개발해 국내 주요 기관들을 공격하고 있다”고 지적했다.

아울러 “이러한 상황에서 우리나라는 사이버 안보 태세를 확고히 해야 하는데 국회가 이를 가로막고 있다. 지난 2009년 7.7디도스 공격 이후 사이버 보안에 대한 모든 대책과 대응방안이 마련됐어야 했는데 아직도 제대로 시행된 것이 없다. 국회의원의 한 사람으로서 국회가 이를 가로막고 있다는 점에 대해 매우 유감스럽게 생각한다”고 덧붙였다.

이날 첫 번째 주제 강연에서 송현 금감원 IT감독국장은 “금감원은 지난 10일 금융분야 ‘금융보안강화 종합대책’을 발표해 금융당국의 보안 컨트롤타워 역할을 강화하고 금융권 전체 보안 거버넌스의 확립, 금융회사 IT보안 역량 강화와 금융 IT 보안 취약요소를 개선하기로 했다”고 밝혔다.

또한, 그는 “이에 금융회사도 자체 보안 거버넌스 확립을 통해 보안투자 강화와 보안 인력을 확보하고 IT 내부통제 확립, 보안시스템 설계 및 기술적 보호조치를 강화해야 하며, 금융소비자들도 개인정보는 스스로 보호해야 한다는 인식을 갖고 보안을 위해서 약간의 불편함도 감내할 필요가 있다”라고 강조했다.

이어 성재모 금융보안연구원 본부장은 “최근 국내 인터넷 뱅킹 및 전자금융거래(비대면거래)가 급속히 증가했고 특히 모바일 뱅킹의 증가로 스마트금융 서비스를 위한 보안정책과 기술개발이 필요하다”고 설명했다.

그는 “특히, 오픈운영체계 HTML5 기반의 환경 구축과 모바일 전자지갑, 모바일 결제 서비스 등을 제공하는 금융회사가 증가하고 있기 때문에 안전한 스마트 금융을 위해서는 보안 거버넌스 체계를 강화하고, 최신 ICT 기술을 활용한 서비스 구축·운영시 취약성 검증 등 보안사항의 고려가 필요하다”고 덧붙였다.

아울러 그는 “무엇보다 중요한 것은 최신 보안위협에 대처하기 위해서는 기술적 접근만으로 비용과 시간적 한계가 있기 때문에 전사적 차원의 보안 대응과 예방책이 필요하다. 특히, CISO의 책임 있는 업무수행과 전담 보안인력의 확보, 그리고 지속적인 보안관리 활동이 중요하다”고 강조했다.

이어 강용석 인포섹 솔루션SI사업본부장은 “과거의 보안사고는 정책이 무너져 있었기 때문이다. 즉, 보안을 위한 계정관리 시스템이 있었으나 무력화돼 공격자는 관리자 아이디와 패스워드만으로 서버에 접근할 수 있었기 때문”이라고 지적했다.

또한, 류기일 개인영상정보보호포럼 이사는 “개인정보의 영역이 영상으로 확대되었다. 개인정보보호법 제2조에서 ‘개인정보는... 주민번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보...’라고 명시되어 있다”면서 “이제는 이러한 영상정보를 처리하는 기기에 대한 관리도 중요한 보안문제로 인식해야 한다”고 말했다.

또한, 그는 “CCTV가 이제는 디지털과 네트워크와 연결되는 형태로 발전하고 있기 때문에 그동안 CCTV의 순기능만 인식해 왔던 것을 이제는 이로 인한 역기능도 인식하고 적절한 대응이 필요하다”고 강조했다.

이날 전상훈 KAIST 선임연구원은 금융정보 탈취를 위한 악성코드 동향과 공격기법 등을 분석한 내용을 발표하면서 웹 서핑을 통한 내부 감염을 예방하고 웹 서비스에 대한 상시적 취약성 감시와 웹서버의 온라인 취약점 진단, 안전한 코딩을 위한 개발자 인식제고 및 소스코드 점검, 최신 정보에 대한 빠른 공유 및 확보체계 수립 등 사고예방을 위한 대응책 마련의 중요성을 역설했다.

또한, 임채호 KAIST 정보보호대학원 교수는 ‘금융 사이버테러 대응 방안’을 주제로한 발표에서 “금융 사이버테러 대응을 위해서 실시간 보안관리가 중요하다”면서 “실시간 보안위협관리는 기업 경영의 하나로서 이해되어야 하고 Self Assessment는 보안 실무에 기반해 진행되어야 한다”라고 말했다.

또한, 그는 “3계층 보안관리로 경영자, 다당자, 실무자의 관점이 같아야 하고 ‘Business Impact’ 상태의 보안관리 수준을 지속적으로 운영해야 하며, 책임추적으로 요구되는 보안예산 관리통제를 수행해야 한다”고 덧붙였다.

임 교수는 이 외에도 “법적준수사항은 100% 달성으로 기업 지속경영이 가능해야 하고 보안품질보증으로 고객이 보안에 만족할 필요가 있다”고 말했다.

한편, 이번 정책세미나를 개최한 임성근 한국정책개발연구원장은 “사이버 금융보안 대책마련은 더 이상 미룰 수 없는 시급한 과제이기 때문에 이번 세미나를 통해 사이버 금융보안을 위한 정책 및 대응방안을 마련하고 보다 안전하고 편리한 전자금융 환경이 될 수 있기를 바란다”고 말했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>