“금융사들이 재무 건전성만큼 ‘디지털 건전성’을 확보하는 데 더 주력해야 합니다.”
김철웅(사진) 금융보안원 원장은 11일 서울 여의도 사무실에서 진행된 서울경제와의 취임 후 첫 인터뷰에서 “금융사가 신뢰를 얻으려면 건전해야 하기 때문에 금융권의 디지털 전환 과정에서 요구되는 디지털 건전성은 중요할 수밖에 없다”면서 이같이 강조했다.
대담=김현수 금융부장 hskim@sedaily.com
김 원장이 강조하는 디지털 건전성은 곧 ‘보안’이다. 전체 금융거래에서 비대면 거래가 차지하는 비중이 커지는 상황에서 금융 보안에 대한 건전성을 높일 필요가 있다는 의미로 ‘디지털 건전성’이라는 용어를 만들었다. 그는 “디지털 건전성은 디지털금융 부문의 정보기술(IT) 시스템뿐 아니라 이를 둘러싸고 있는 통신·클라우드 등 각각의 디지털 인프라 생태계까지도 안정적으로 관리하는 것을 의미한다”면서 “디지털 건전성이 확보되지 않으면 사이버 리스크가 전방위적으로 빠르게 확산돼 금융 시스템 안정을 해칠 수 있는 만큼 반드시 구현해야 할 가치”라고 역설했다.
디지털 건전성을 강조하는 김 원장에게 현재 국내 금융사들의 금융 보안 점수를 물었다. 의외로 김 원장의 점수는 낮았다. 평균 ‘B+’라고 평가했다. 그는 “금융 보안 사고에 대비하기 위한 정책이 마련된 덕분에 금융사들은 재난복구(DR) 시스템 등을 구축해놓았지만 그 외의 기술적인 측면이나 자율 보안은 여전히 부족하고 더 개선돼야 한다”고 말했다. 특히 금융 당국이 지난해 12월 발표한 금융 보안 규제 선진화 방안에 따라 금융권은 자체적으로 보안 리스크 관리 체계를 강화해야 한다고 강조했다.
금융 보안 규제 선진화 방안에 따르면 금융사가 전사적 차원에서 금융 보안을 준수하고 자율 보안 체계를 구축해 보안 리스크에 적극 대응해야 하며, 이 체계를 구축하지 않거나 보안 사고가 발생하면 기존보다 무거운 사후 책임을 지도록 했다. 김 원장은 “금융보안원도 선진화 방안에 따라 목표·원칙을 중심으로 정보 보호 상시 평가, 개인정보 보호 인증 등 금융회사가 자율적으로 목표를 달성할 수 있도록 지원할 것”이라면서 자율 보안 체계가 안착하면 금융사들의 금융 보안 점수는 ‘A’로 상향될 것이라고 전망했다.
최근 금융권에서 해킹 등 눈에 띄는 금융 보안 이슈가 발생하지는 않았지만 잠재적 위협에 항상 대비해야 한다고 김 원장은 목소리를 높였다. 특히 금융사 내부망을 통한 사이버 위협을 잠재적 위험 요인으로 꼽았다. 올 초 해커 그룹 랩서스(Lapsus$)가 마이크로소프트(MS) 등 대형 회사 내부망에 침입해 결과적으로 제한적이지만 회사 전체 시스템 접근에 성공한 것처럼 금융사도 언제든 내부망을 통한 침입을 당할 수 있다는 지적이다. 김 원장은 이 같은 위협에 노출되는 것을 막으려면 ‘제로 트러스트 체계’를 구축해야 한다고 강조한다. 제로 트러스트 전략은 데이터마다 보안 등급을 부여해 주요 데이터일수록 내부 접근 권한 등을 더욱 엄격하게 관리하는 방식이다. 국내에서는 인터넷은행인 토스뱅크가 보안 강화를 위해 전사적으로 이 체계를 구축했다. 김 원장은 “코로나19 장기화로 원격·재택근무가 확산하면서 e메일 등 사회공학 기법을 활용한 사이버 위협과 내부자 위협이 증가하고 있다”면서 “기존 보안 패러다임을 제로 트러스트 체계로 전환할 필요가 있다”고 말했다. 이어 “금융사들이 가지고 있는 정보 유형을 중요도에 따라 세분화해 주요 정보 자산일수록 인증을 까다롭게 관리하는 게 이 전략의 핵심”이라면서 “최고경영자(CEO)가 전사적인 차원에서 오픈소스나 클라우드 등 디지털 생태계에 대한 리스크 관리를 강화해야 한다”고 덧붙였다.
금융보안원은 가상자산 시장의 확대로 암호화폐거래소의 보안도 예의 주시하고 있다. 한때 국내 1~2위 암호화폐거래소에서 해킹으로 추정되는 사고가 발생했던 만큼 암호화폐 업계의 보안을 강화하고 투자자 보호 대책을 마련해야 한다는 목소리가 끊임없이 제기되고 있기 때문이다. 특히 북한의 암호화폐 해킹은 사실상 안보 위협이 되고 있다. 암호화폐 업계는 현재 국회에서 논의 중인 ‘디지털자산기본법’이 서둘러 제정돼 암호화폐 보안 시스템도 보다 강화된 관리가 필요하다는 입장이다.
현재 암호화폐거래소에 대한 정보보호관리체계(ISMS) 인증은 과학기술정보통신부가 고시한 기준에 따라 한국인터넷진흥원(KISA)이 운영한다. 금융보안원은 지난해 7월 과기정통부와 개인정보보호위원회로부터 정보보호 및 개인정보보호관리체계(ISMS-P) 인증 기관으로 재지정받아 금융 분야에 특화된 인증 심사만 맡고 있지만 디지털자산기본법이 제정되면 금융보안원의 역할도 커질 가능성이 높다. 김 원장은 “가상자산 트렌드나 암호화폐거래소의 취약점을 파악하고 있다”면서 “지난해 금융보안원 직원 14명이 ISMS-P 인증 심사원 자격도 취득해 기존 금융보안원 전문인력까지 고려하면 시장 수요를 맞출 수 있는 만큼 검증 전문가를 보유하고 있다”고 말했다. 현재 금융보안원 근무자 300명 가운데 220명이 IT 전문가다.
국내 금융사들의 글로벌 시장 진출에 따른 대응에도 적극적이다. 금융보안원은 올해 미얀마·인도네시아·베트남 등에 나가 있는 금융회사 해외 점포에 대한 글로벌 보안 취약 점검도 실시할 예정이다. 김 원장은 “지난해 점검 결과 베트남에 진출한 일부 금융사의 보안은 2014년 이전 수준”이라면서 “현지 관계 법령에 따라 보안 시스템을 구축하고 현지 보안 업체가 관리하다 보니 제때 보안 시스템이 업그레이드되지 않아 취약점이 발생한 것”이라고 말했다. 이어 “올해는 점검 대상 국가와 함께 보안 개선책을 고민하고 국내 IT 강점을 전파할 것”이라고 덧붙였다.
코로나19 이후 비대면 활동이 확산하면서 금융권에서 급부상한 ‘메타버스’는 금융보안원의 새로운 영역이다. 금융권에서는 금융소비자가 가상 지점에서 금융 상담을 받고 금융거래를 하는 시대가 조만간 열릴 것이라는 기대감이 높다. 김 원장은 “금융권에서 메타버스를 통해 결제나 실거래 등이 아직 이뤄지지 않다 보니 금융 분야에서 실제 피해 사례는 없다”면서도 “다만 메타버스 내에는 사용자 해킹, 사기와 같은 사이버 금융 범죄 발생 가능성이 존재하기 때문에 사용자 인증 및 데이터 조작에 대한 대비가 필요하다”고 설명했다. 이어 “메타버스는 가상현실이다 보니 대면 거래와 달리 ‘인증 지속성’ 문제가 생길 수 있다”면서 “메타버스에 특화된 사용자 2차 인증 기술 개발은 물론 사용자 정보가 화면에 노출되지 않도록 기술적 조치를 마련하고 데이터 위·변조 방지 기술 등의 대비책도 준비해야 한다”고 했다.
아울러 금융보안원은 올해 △금융권 사이버 안전망 강화 △인공지능(AI)·데이터 등 신기술을 활용한 금융 서비스 보안 강화 △금융 분야 데이터 경제 활성화 등에 집중할 예정이다. 보이스피싱과 악성 애플리케이션, 악성 코드 등을 정확하게 탐지할 수 있도록 올해부터 금융보안원 소속 화이트 해커를 활용한 모의 해킹을 강화하고 블라인드 방식의 침해 사고 대응 훈련도 활성화할 계획이다.
금융보안원은 올해 출범 3년을 맞은 금융데이터거래소에서 더 많은 데이터가 결합되고 유통될 수 있도록 ‘데이터 플랫폼’ 역할도 강화할 계획이다. 지난해 말 기준 금융데이터거래소 회원사는 총 110곳이다. 은행·증권·보험·카드 등 금융사 55곳과 비금융회사 55곳이 참여하고 있다. 거래소에 등록된 데이터 상품은 총 3271개로 무료 데이터 1379개, 유료 데이터 1892개다. 업권별로 살펴보면 카드사가 등록한 데이터 상품이 2305개로 가장 많았으며 △은행 422개 △빅데이터 162개 △핀테크 69개 등의 순이다. 지난해 말 기준 누적 거래량과 누적 거래액은 각각 1만 877건, 약 11억 9000만 원이다.
김 원장은 “카드사가 등록한 지역별 카드 이용 정보나 성별·연령대별 소비 트렌드 등 소비 관련 데이터가 가장 많이 거래되고 있다”고 말했다. 이어 “거래소 출범 초반에는 누가 어떤 데이터를 가지고 있는지, 어떤 데이터를 활용할 수 있는지 파악하기 어려웠고 데이터의 가치에 대한 공감대가 부족했던 게 사실”이라면서 “회원사들이 데이터의 가치를 체감할 수 있도록 데이터 커뮤니티 활성화에 최선을 다할 것”이라고 설명했다.
He is… △1966년 전북 김제시 △전라고 △1985년 연세대 경영학과 △2002년 미국 메릴랜드대 MBA △1991년 한국은행 △2007년 금융감독원 △2017년 금융감독원 일반은행국장 △2019년 금융감독원 불법금융대응단 국장 △2020년 금융감독원 분쟁조정2국장 △2020년 금융감독원 소비자권익보호 부원장보
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
yjy@sedaily.com
