본문 바로가기

현장속으로/세미나

은행 선택 시 보안 등급도 판단 기준 되어야

올해 지난 4월에 잇달아 발생한 금융권 보안 사고는 국민의 재산에 직접 피해가 갈 수 있는 사건이라 심각성이 컸다. 얼마 전 삼성동 코엑스에서 열린 '2011 금융보안 그랜드 콘퍼런스'는 이 같은 금융 보안 문제를 다루는 자리였다. 

여러 발표 중 고려대 정보보호대학원 임종인 원장은 '사용자가 금융기관을 선택할 때 보안 수준 등급을 볼 수 있게 공시 제도를 만들어야 한다'고 제안해 눈길을 끌었다. 또한 그는 ‘금융 IT 정보보안 정책 방향’을 주제로 
개별 금융기관, 금융당국, 정부에서 각각 어떻게 대책을 마련해야 하는지를 짚었다. 이 중 많은 부분이 최근 금융위원회가 발표한 '금융회사 IT 보안강화 종합대책'에 반영되어 있다. 다음은 주요 내용.

보안의 중요성을 인식시킬 제도가 필요


농협 사건은 보안관리가 기술 측면뿐 아니라 관리 측면에서도 중요한 과제임을 보여준 사례이다. 즉, 우리의 과제는 보안의 기술적, 관리적, 물리적 측면을 어떻게 균형 맞출 것인가에 있다. 

현재도 보안 관련 법이 많이 있다. 즉, 보안 사고가 빈번히 일어난 이유는 법의 부재 때문이 아니라 제대로 지켜지지 않아서이다. 보안금융당국에서 관리 감독을 제대로 할 수 없었고 단기적인 성과를 요구한 것도 하나의 이유이다. 무엇보다도 보안을 비용이라고 보는 풍조가 금융보안 사고의 근본원인이다. 

보안을 하지 않을 시 CEO를 처벌한다, 책임지게 한다는 징벌 측면 외에 보안을 열심히 한 CEO에게 어떤 인센티브를 줄 수 있을 것인가도 생각해야 한다. 개인정보보호법에 따르면 개인정보 처리자가 보안 의무를 준수하고 상당한 감독을 게을리하지 않을 경우 개인정보의 분실, 훼손으로 인한 손해배상책임을 감경 받을 수 있다.

또한 보안수준에 대한 금융기관의 공시제도를 제안하고 싶다. 국민이 단순히 이자율만 가지고 보는 것이 아니라 보안수준이 몇 등급인지 살펴보고 금융기관을 선택하는 것도 필요하다.

보안총괄임원인 CSO, CISO가 실제로 부장, 팀장 정도의 낮은 직급이라는 것도 문제다. 직급이 낮다보니 리스크(risk)가 있어도  CEO한테까지 전달이 잘 안 된다. 그렇기에 CSO, CISO에게 전체 업무에서 감사 역할을 하고 아웃소싱 업체에 대한 전반적 관리를 하도록 권한을 줘야 한다. 다시 말하자면 CSO, CISO가 개별, 독립적 입장이 되어야 한다 것이다. 문제는 이러한 CSO를 길러내는 것이 어렵다. 하지만 지금부터 우리가 사회적 투자를 한다면 실행할 수 있는 부분이다. 시스템만 도입하는 것은 일시적 방책이지 진정한 해결책은 아니다. 우리가 해답을 몰라서가 아니라 해답을 실제로 시행하지 못하는 것이 큰 문제이다.

아웃소싱 부분도 살펴봐야 한다. 아웃소싱 자체가 문제 있다는 것이 아니다. 사고 발생 후의 실질적 대응도 아웃소싱 업체에만 맡길 정도로 아웃소싱에 너무 의존하는 상황이 문제다. 아웃소싱 업체들이 제대로 이행하고 있는지 여러 가지 방법으로 점검해야 한다. 특히, 아웃소싱 계약, SLA 계약 등 보안과 관련된 규정이 일부회사밖에 들어 있지 않다. 그러다보니 많은 보안 전문 회사들이 아웃소싱 계약을 맺어도 잘하나 못하나 티가 나지 않는다. 즉, 동기 유발이 되지 않는다. 이런 부분을 명확히 고쳐 제대로 된 보상이 이뤄져야 하며 개인정보보호와 관련된 대책이 마련돼야 한다. 또한 아웃소싱 업체의 전문성과 실력을 고려해서 선정해야 하는데 이에 대한 전문성을 가진 자체 직원이 없는 것도 문제다.

* 아웃소싱(outsourcing) :
기업 업무의 일부 프로세스를 경영 효과 및 효율의 극대화를 위한 방안으로 제3자에게 위탁해 처리하는 것을 말한다. 다른 의미로는 외부 전산 전문업체가 고객의 정보처리 업무의 일부 또는 전부를 장기간 운영·관리하는 것을 뜻하기도 한다.


개별 금융기관이 취해야 할 대응 방안

금융전산망 보안 강화에 대한 개별 금융기관이 취해야 할 대응은 다음과 같다. 계정관리, 전산장비 관리, 직원 관리 등 전사적 위험 관리 차원의 내부 통제 수행해야 한다. 앞에서도 말했듯이 보안 아웃소싱 관리를 개선해야 하며 최소한 IT 예산 대비 보안투자 비율을 10%이상으로 현실화해야 한다. 금융사고 발생 시에 사고의 원인을 자체적으로 분석해내고 능동적으로 대응할 수 있는 보안 인력을 갖추는 것도 중요하다. 보안조직의 독립성과 효과성을 보장하는 것도 필수적이므로 최고정보보호책임자(CSO)를 독자적 임원급으로 두어야 한다는 것도 대응책이다. 그 외의 진정한 신뢰를 줄 수 있도록 위험 커뮤니케이션을 개선해야 하고 사고 증거를 수집하기 위해 포렌식 준비도(Forensic Readiness)도 확립해야 한다.

금융당국이 취해야 할 대응 방안

금융당국이 취해야 할 대응 방안은 첫째, 전체 금융권 차원의 보안 거버넌스를 구축하는 것이다. 내부적으로 은행 쪽의 금결원(금융결제원), 증권 쪽의 코스콤 그리고 금융연구원이 있지만 개별적이며 협조체계가 서로 이뤄지지 않고 있다. 보안 사고가 생기면 민간분야에서 해결하는 것은 KISA(한국인터넷진흥원)이다. 하지만 KISA가 대응 및 해결을 다 할 수가 없기에 금융권이 효과적으로 일관된 대응을 할 수 있는 공동 대응 시스템 구축이 필요하다.

둘째로는 금융보안 전담 법적 기구를 설치하는 것이다. 이는 전체 금융권 보안 거버넌스 차원에서 금융보안연구원과 같은 금융보안전담기구를 법적 기구화하는 것이다. 셋째로는 금융기관의 보안수준에 대한 공시 시스템을 구축하는 것이다. 앞에서 언급했듯이 고객들에게 각 금융기관의 보안 투자 수준, 최고보안책임자 존재 여부, 보안위험관리수준 등에 대한 투명한 공시시스템을 제공하는 것을 말한다.

넷째는 보안 사각지대를 제거하는 것이다. 제2금융권을 포함한 전체 금융권 위험관리 차원에서 모니터링의 확대를 실태조사하는 것이 필요하다. 마지막으로 보안 검사 인력을 확충해야 한다. 그동안 검사가 부실하다는 점도 지적되었기 때문에 보안 검사 인력을 충분히 확보할 필요가 있다.


정부 차원에서 취해야 할 대응 방안

정부 차원에서도 금융 보안 강화를 위한 대응 방안을 해야 한다. 첫째, 금융보안인력을 양성할 수 있도록 지원하는 것이다. 다양한 위험에 신속하게 대응할 수 있는 전문성을 가진 인력이 해결책 중의 하나이기 때문이다. 둘째, 사이버 안보 강화 차원의 민관 협력을 강화하는 것이다. 금융권이 사이버테러의 주요목표대상이 되고 있는 상황에서 민관공동협력방안이 필요하다. 셋째, 금융권 정보통신의 기반시설을 점검하고 확대해야 한다. 이것은 필요조건이지 전체적인 문제 해결은 아니다. 시스템 및 기반시설을 확대하는 것은 일시적 방책일 수 있기 때문이다.

전체적으로 보면 개별 금융기관, 금융당국, 정부가 취해야 할 대응 방안은 다 나와 있다. 가장 중요한 것은 각 주체들의 의지다. 의지를 가지고 제대로 실행할 때 전체적 금융 서비스에 대한 신뢰가 반영되기 때문이다. Ahn 

대학생기자 류하은 / 강남대 경영학과 
 
거거거중지(去去去中知),  행행행리각(行行行裏覺)
가고 가고 가는 중에 알게 되고, 행하고 행하고 또 행하면서 깨닫게 된다.
- 노자의  <도덕경> -
제 글이 조금이나마 당신이 가는 그 길에 빛이 되었으면 좋겠습니다.