| [2014 보안정책 결산④] 금융보안 정책·이슈 | 2014.12.29 | ||
FDS 산업 포럼 김인석 회장에게 듣는 올해 금융보안 이슈_
이에 초대 FDS 산업 포럼 회장을 맡게 된 고려대학교 정보보호대학원 김인석 교수(금융IT연구소 소장)를 만나 올 한해 우리나라의 금융보안 이슈를 짚어보고, 앞으로 더욱 안전한 전자금융거래 환경 조성을 위해 해결해야 될 문제점에 대해 들어봤다.
김인석 교수는 “올해 크고 작은 금융보안 사고가 많이 발생했다. 하지만 이중에서도 가장 큰 이슈는 카드사 고객정보 유출사고였다. 예전부터 금융회사들에게 가장 중요한 것은 개인정보보다는 고객의 예금이었다”면서 “금융회사들은 지금도 마찬가지로 고객들의 예금을 더 중요하게 생각하고 있다는 점이 보안 측면에서 가장 문제다. 최근 발생한 농협 텔레뱅킹 사고의 원인은 아직도 밝혀지지 않았는데, 사고의 원인을 모르는 것 자체가 부담스러운 일”이라고 지적했다. 이어서 그는 “이러한 잦은 금융보안 사고와 피해규모 증가로 인해 금융위원회와 금융감독원에서는 금융정보보호 강화를 위한 여러 가지 보안대책을 마련했다. 그 중에서 가장 큰 변화는 공인인증서 외에 다양한 인증수단을 마련한 것”이라며 인증수단의 다양화를 꼽았다. 그리고 금융회사의 정보보안을 금융회사의 자율에 맡기는 대신 사고 발생 시에는 책임을 강화하도록 한 것과 전산망 분리 의무화, DB암호화 의무화, FDS 구축 권고 등을 꼽았다. 금융당국은 지난해 9월 ‘금융전산 보안강화 종합대책’을 통해 금융회사의 망분리 가이드라인을 발표하고, 2015년까지 금융회사의 전산시스템 망분리를 의무화했다. 이에 따라 금융회사 전산센터는 올해 말까지 의무적으로 물리적 망분리를 완료해야 하고 각 은행 본점 및 영업점은 내년 말까지, 제2금융권은 2016년 말까지 망분리 방식을 선택해 이행해야 한다. 또한, 올해 초 발생한 신용카드 3사의 정보유출 사태와 관련해서 정부는 ‘예외 없는 암호화 의무화’를 내세우며 전 구간 암호화 의무를 강화했고 이에 따라 내년 말까지는 모든 금융사가 데이터베이스(DB) 암호화 적용을 완료해야 한다. 이와 함께 정보기술 관련 외주 용역에 의한 정보유출 방지를 위해서 내부 전산 비밀번호 암호화도 의무화됐다. 더욱이 금감원은 지속되는 금융사기 방지를 위해 올해 말까지 은행권에 이상금융거래 탐지시스템(FDS)를 구축하도록 권고했다. 늦어도 내년 2월까지는 구축을 완료하도록 한 후에 이를 PG사로 확대할 예정이다. FDS의 궁극적인 목표는 카드사와 은행 모두 ‘부정사용 방지’이다. 다만 수집·분석되는 정보가 다르기 때문에 그 차이점을 인정하고 은행권에서도 FDS가 효과적으로 운영될 수 있도록 제도와 법 개선이 필요하다는 것이다. 김인석 교수가 생각하는 우리나라 금융보안의 가장 큰 문제점은, 사고가 발생할 때 막는 것 자체의 문제보다는 사고가 발생할 가능성이 높은 구조적 문제, 즉 통장·카드 발급 등이 너무 쉽다는 것이다. 이는 다시 말해 범죄에 활용될 수 있는 도구를 너무 손쉽게 얻을 수 있다는 얘기다. 미국의 경우에는 일정 수준 이상의 거래성과가 있어야 은행 계좌를 열어주고 거래를 할 수 있도록 해주는 반면, 우리나라는 너무 쉽게 금융계좌를 만들 수 있고 거래가 가능하도록 함으로써 이러한 허점들을 노리는 금융사기가 많다는 것이다. 또한 금융거래 사고 발생시 범죄자 처벌이 해외에 비해 턱없이 미흡한데, 이런 문제가 우선 해결되어야 한다고 김 교수는 강조했다. 그는 “금융회사들이 자율적으로 보안대책을 마련하고 실행하게 되면 다양한 방법으로 더욱 강력한 보안대책을 실행할 수 있는 장점이 있다. 그런데 가장 큰 문제는 어떤 은행에서 강력한 보안정책을 시행하면 이에 대한 고객 불만이 커진다는 점이다. 이로 인해 이용자들은 강력한 보안정책을 시행하는 은행보다는 좀 더 쉽고 편리하게 이용할 수 있는 은행으로 몰리는 현상이 발생하는데 이렇게 되면 안 된다”고 말했다. 이어서 그는 “금융보안 사고발생 시 수사기관의 인력이나 전문성에는 한계가 있기 때문에 금융회사나 금융보안원 등에게 사고를 조사할 수 있는 권한을 주는 것도 좋은 방법”이라면서 “사고 원인을 찾아야 비슷한 유형의 사고 재발 방지에 도움이 될텐데 최근 농협의 텔레뱅킹 사기 사건은 로그 분석 등 증거 자료가 없다 보니까 수사했다고 볼 수 없다”고 덧붙였다. 이 외에도 메모리해킹 등에 대비해 스마트폰 유심과 같은 조금 더 안전한 방법을 사용하는 것도 안전한 전자금융거래를 할 수 있는 방법이다. 조금의 불편함을 감수하면 안전한 전자금융거래를 이용할 수 있는데, 사용자들은 이를 실천하지 않으려고 하는 점이 문제라고 지적했다. 아울러 그는 “현재의 카드복제 문제는 IC카드 전환이 하루빨리 마무리되면 해결될 일이다. 이미 IC카드 전환은 다 되어 있는데 문제는 가맹점의 단말기 교체다. 비용이 많이 드는 가맹점 단말기 교체로 손해 보는 사람들에 대한 적절한 보상이 필요하다고 본다”면서 “이는 벤사와 카드사들간 협의를 통해 벤사에 대한 보상을 해야 한다. IC카드의 장점은 복제의 염려가 없어 카드의 매출 건별로 승인하지 않아도 되며 카드 수수료 낮출 수 있고 인증서나 지문 등 본인 확인이나 인증 매체로도 활용이 가능하다”고 말했다. 아직도 ‘보안’ 하면 IT 보안전문가들이 해야 할 일이라고 생각하는 금융회사 직원들이 많다는 김 교수는 “한 예로 은행에서 모의해킹 훈련을 할 때 직원들에게 출처가 불분명한 이메일을 열지 말라고 해도 열어보는 경우가 있다. 이는 은행영업점 직원들의 미흡한 보안의식 때문”이라며 은행 직원들의 보안의식을 높일 수 있도록 해야 한다고 주문했다. 또한 그는 “최근 금융을 뜻하는 파이낸셜(Financial)과 기술(Technique)의 합성어로 간편결제와 모바일 결제 및 송금, 개인자산관리, 크라우드 펀딩 등 ‘금융·IT 융합형’ 산업을 말하는 ‘FinTech’가 주목된다”면서 “중국과 미국의 핀테크 서비스 기업은 막대한 자본력을 가지고 국내에 들어오는 상황인데, 우리나라에서는 보안에 취약하다는 점과 사고위험이 높다는 이유로 적극 참여하지 못하고 있다”고 설명했다.
▲ FDS 산업 포럼 김인석 회장 김 교수는 금감원 재직시절인 1998년 인터넷 뱅킹을 처음 도입할 때가 가장 기억에 남는다고 전한다. 이 때만 해도 불편하지만 은행마다 다른 사설인증서를 사용했다. 그러다가 인터넷뱅킹 사고가 발생했고 그 대안으로 2002년에 공인인증서를 만들어 은행과 증권사에서 도입하기 시작한 것이다. 공인인증서는 2002년 전자정부를 오픈하기 위해 당시 정보통신부에서 개발을 주도했으며 국내 인터넷 브라우저 환경인 MS IE에 맞추다 보니 액티브X 환경으로 개발됐다. 이와 함께 지난 2005년 금융보안사고 방지대책 마련을 위해 금융보안연구원 및 OTP인증센터 설립에도 관여했다고 설명했다.
현재 우리나라 금융보안 분야는 업무는 너무 힘겹고 책임은 무거운 반면, 처우와 보상은 미흡해 보안전문 인력들이 금융보안 분야에서 일하기를 꺼려하는 상황이이라고 김 교수는 전했다. 이어 그는 금융회사에서 보안전문가를 포함한 보안관련 전문조직을 더 특성화시켜 은행의 자율적인 정보보안을 보다 체계적으로 실행하도록 하고, 이를 바탕으로 금융권 직원들의 보안의식을 높일 수 있다면 금융보안 분야는 훨씬 더 좋은 직업군이 될 것이라고 말했다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
[보안뉴스 김태형] 최근 은행을 타깃으로 한 금융 사이버범죄가 점점 더 고도화되고 획기적인 방법으로 진화하고 있다. 특히 올해는 연초부터 카드사 정보유출 사고로 시작해 파밍·피싱, 공인인증서 탈취, 텔레뱅킹 사기 등 금융보안 사고가 지속적으로 발생하면서 금융당국도 대응방안 마련에 분주했다.