“사고 이후 대응방법과 절차도 중요해”

[보안뉴스 김태형] “금융보안 사고는 항상 발생할 수 있음을 인지하고 사고 발생 시에는 신속히 대응해야 하며, 사고 이후에는 대응방법, 즉 누가, 어떻게, 책임을 질 것인지에 대한 고민이 필요하다”

이날 패널 토의는 한국경영정보학회 정철용 회장이 좌장을 맡았으며, 금융감독원 박근태 팀장, 한국인터넷진흥원 정현철 팀장, 하나은행 유시완 전무, 법무법인 율촌 손도일 변호사, 안랩 김기영 실장, 금융보안연구원 성재모 본부장 등이 패널로 참가했다.

한국인터넷진흥원 정현철 팀장은 “외부자의 금융시스템 침투는 APT 공격을 통해 금융회사의 업데이트 서버나 시스템을 장악하는 경우가 있다. 이러한 공격에 대해서는 무엇보다 금융회사의 보안체계와 정보공유가 매우 중요하다. 특히 신속한 대응과 보안조치가 필요하다”고 말했다.

이어서 율촌 손도일 변호사는 “정보보안은 기본적으로 사람이 하는 것이다. 보안 컨설팅을 하다 보면 사람이 매우 중요하다는 것을 알 수 있다. 무엇보다 기업에서 각자가 맡은 임무에 충실해야 정보보안에 문제가 없을 것”이라고 말했다.

금융회사 보안사고 발생시 관련 매출 3%의 과징금 부과, 최대 300만원까지 법적 손해 배상 책임을 부과하도록 관련 법이 개정됐다. 보안사고 발생은 항상 가능하다는 관점에서 대응방안을 강구해야 한다는 것.

손도일 변호사는, 특히 사고 이후의 대응방법, 누가, 어떤 책임을 질 것인지에 대해 고민할 필요가 있다. 앞으로는 클린 데이터베이스 운동 관점에서 보안을 바라보는 것도 필요하다고 덧붙였다.

이와 관련 하나은행 유시완 본부장은 “사이버 공격의 모든 타깃은 금전적 이익 때문에 금융기관에 집중되어 있다. 이에 기술적 방어에는 한계가 있다. 금융회사의 보안 수준은 각 회사마다 다르기 때문에 가장 취약한 부분이 평균적인 보안수준이라고 보고 이상거래탐지 등과 같은 시스템으로 전체적인 수준을 높이는 노력이 필요하다”고 말했다. 덧붙여 그는 임직원들의 보안의식 고취가 중요하다고 강조했다.  

또한 금감원 박근태 팀장은 “금융회사는 이용자 보호를 위해 법 규정을 준수해야 한다. 특히 보안기술과 업무 프로세스의 결합으로 보안위협을 막아야 한다. 전자 금융거래 수단 특성을 악용한 앱카드 도용 사고사례에서 보듯이 앱카드 인증을 위한 전화번호 입력 방식을 업무 프로세스에 적절한 방식으로의 전환을 추진하고 있다”면서 “이상거래 탐지를 통한 사고 예방이 중요하다”고 설명했다.

좌장을 맡은 한국경영정보학회 정철용 회장은 “금융IT와 금융보안을 잘 하기 위해서는 금융 비즈니스의 이해가 선행되어야 한다”면서 “금융 IT보안을 강화하기 위해서는 금융회사 전체가 보안취약점과 위협에 대한 철저한 분석을 기반으로 적절한 보안기술과 대응방안을 고민해 각사에 맞는 체계적인 대응책을 마련해야 한다”면서 이날 패널토의를 정리했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>