금융 보안에 '설마'는 없다

김영린
금융보안연구원장

최근 정보기술(IT) 융합기술의 성장은 상상을 초월한다. TV는 방송 시청을 위해, 냉장고는 음식 보관을 위해, 전화기는 통화를 위해 존재한다는 전통적 가치가 퇴색돼 버린 시대다. 이제는 하나의 디바이스로 TV를 보고, 통화를 하며, 인터넷에 접속할 수 있는 시대를 넘어 자신이 지니거나 마주하는 모든 사물이 서로 연결되는 융합의 시대다. 금융 분야도 새로운 영역이 열리고 있다. 이미 전체 금융 거래에서 인터넷이나 모바일을 통한 전자금융 거래가 차지하는 비중이 90%를 넘어섰다. 가까운 미래에는 PC나 모바일뿐 아니라 자신이 원하는 모든 디바이스로 금융 거래를 할 수 있는 길이 열릴 것이다.

　그러나 모든 게 융합해 연결돼 간다는 것은 해킹·악성코드 같은 위협마저도 서로 손쉽게 연결될 수 있음을 의미한다. 연결 속도가 빠르면 빠를수록, 범위가 넓으면 넓을수록 그 위험은 배가해 높아진다. 특히 금융 분야는 신규 상품 및 서비스 개발보다는 대고객 서비스 채널 확보를 위해 IT를 활용하고 있어 해킹이나 악성코드에 실시간으로 노출될 가능성이 크다.

　최근 잇따라 발생하고 있는 금융사고를 보면 금융융합 속도에 금융보안이 따라가지 못하고 있음을 절실히 느낀다. 금융환경과 공격기법은 나날이 발전해 나가는데 그 방어 및 대응 시스템은 따라가기에도 벅차 보인다. 새로운 보안 시스템을 도입했을 때 문제가 생긴다면 그 피해와 책임을 감당할 수 없기에 다른 금융회사가 먼저 도입해 안전하게 운영하는 것을 확인한 뒤에야 움직이는 금융회사의 보수적 접근 때문이다.

　하지만 금융에서 보안은 무엇보다 우선적으로 고려돼야 한다. 금융이 타 분야와 융합하는 접점 시스템마다 이중 삼중으로 보호하고, 위험 발생 시 언제든 대체하고 신속히 복구할 수 있도록 원래 시스템과 똑같은 시스템을 분산해 만들어야 한다. 취약한 지점을 늘 점검하고 보완하는 체계적 보호 통제 정책이 상시적으로 운영돼야 한다.

　또 요즘 IT 보안사고는 단순한 해킹 공격이 아닌 복합적인 공격기법 및 다양한 원인에 의해 발생하기 때문에 단편적인 보안솔루션의 도입만으로 대응할 수 없다. 기술적인 측면만 아니라 관리적 보안요소까지 반영한 보안기술의 융합이 반드시 이뤄져야 한다. 특히 최근 금융회사의 정보 유출사고에서 경험했듯이 보안기술은 금융회사의 내부 통제와 지배구조의 뒷받침을 필요로 한다. 또 금융 IT 시스템을 계획하고 설계하는 단계부터 선제적으로 보안에 투자해야 효과를 극대화하면서 비용을 절감할 수 있다.

　최근 발생한 각종 금융보안 사고는 금융 서비스 전반에 대한 불신을 초래했으며 금융산업 발전을 저해하는 위험요소가 됐다. 금융보안은 IT의 편리함의 지속적인 발전을 담보할 수 있는 버팀목이다. 편리함에 앞서 안전함을 한 번 더 생각하고 제대로 된 선택을 하자. 이러한 선택은 우리가 직면하고 있는 안전불감증에서 벗어나 우리 경제 위상에 걸맞게 IT 융합을 꽃피우는 계기가 될 것이다.

김영린 금융보안연구원장