SBS Biz

잇달아 해킹되는 '금융권 IT' 보안 단속, 무엇이 문제인가

SBS Biz
입력2011.04.18 13:48
수정2011.04.18 14:39

이동훈 고려대 정보보호대학원 교수
 
현대캐피탈 해킹 사건과 농협 사태로 본 금융 보안 실태를 살펴보면, 두 사건 모두 보안에 문제가 있기 때문에 일어난 사건이지만 현대캐피탈과 농협 사태는 다르게 구분되어져야 한다.
 
현대캐피탈은 금전적 이익을 노린 외부 해킹에 의한 개인정보유출사건으로 이러한 경우는 과거 옥션 등의 사태와 유사하다. 하지만 농협 사태는 해킹이 아닌 내부통제를 부실로 인한 서비스 중단 사태로 더욱 심각하다 할 수 있다.
 
금융기관에서 이와 같이 약 일주일 동안 서비스가 제약된 사건은 찾아보기 힘들다. 금융 보안이 외부뿐만 아니라 내부로부터도 취약한 구조라 할 수 있다. 이러한 문제는 비단 현대캐피탈과 농협만의 일은 아니다. 다른 금융권의 보안 상황 역시 문제의 심각성은 대동소이하다고 할 수 있다.
 
18개 주요 은행의 보안 담당자 120여 명 가운데 80%는 외부 용역인력이라고 알려져 있다. 즉, 주요은행의 자체 보안 담당자는 사실 상 은행당 한두 명이라는 소리이다. 자체의 보안을 외부인력에 의존하고 있는 실정이며 또한 금융기관의 IT 관리감독 인원도 10명 남짓하다. 도저희 모든 금융기관을 제대로 관리감독하기 힘든 인원이다.
 
우리나라 '금융권 IT' 보안 분야 문제점은 무엇인가?
 
우리나라 금융권 IT 보안 분야의 문제점은 첫째 금융기관의 CEO 입장에서 보안을 투자가 아닌 비용으로 인식하고 있다.사실 금융사들은 경영효율화 차원에서 IT보안업무의 상당부분을 협력업체 직원들에 의존해 왔다. 2, 3차 하도급인 셈인데 해킹이나 서비스 중단으로 인한 기업 인지도, 주가하락 등을 생각하면 기업의 위험관리 측면에서 중요한 투자이다.
 
이번 사태로 현대캐피탈이나 농협의 고객이 많은 부분 다른 금융사로 옮겨갈 것은 분명하다. 둘째 이번 사태는 사실상 예고된 `인재`라는 게 금융권의 공통된 시각이다. 특히 내부통제가 제대로 이루어지지 못한 것이 문제인데 중요한 정보를 정보소유자가 제대로 관리를 못한 결과이다. 투자를 몇 백억해도 통제를 제대로 못하면 아무 소용이 없다.
 
잇단 사고 막기 위해 철저한 보안 관리 시급
 
집에 자물쇠를 아무리 좋은 것으로 사용해도 비밀번호나 키를 외부사람에게 맡겨놓으면 소용이 없다. 잇단 사고를 막기 위해 가장 시급한 일은 보안에 관하여는 각 금융기관내에 자체적인 보안조직과 인력을 두는 일이다. 첫 번째로 보안을 담당할 CSO가 임명되어야 한다. 현재는 CSO의 임명이 사실상 권고정도로 의사결정권자 수준에서 CSO가 전사적인 위험관리 측면에서 보안을 책임져야 할 것이다.
 
두 번째로 금융권에서는 자체 보안전문인력의 확보가 시급하다고 하겠다. 특히 IT전산인력과는 구분된 보안인력을 확보해야 한다. 아무리 많은 비용이 들어도 자체의 정보는 자체인력으로 통제를 해야만 한다. 금융감독원은 2009년 7.7 DDoS 공격 이후 금융권을 대상으로 CSO임명, 보안인력양성 등을 골자로 하는 ‘금융부문 DDoS 공격 대응 종합대책’을 발표하였지만 지켜진 것은 거의 없는 상황이다.
 
정책적으로 전자금융거래법 및 보안인력 양성 주력해야
 
오히려 현대캐피탈, 농협 사태 등 사태는 더욱 악화되고 있어 이번에는 책임과 권한을 갖는 기관에서 좀 더 구속력 있는 대책의 발표가 필요할 것이다.
 
금융감독원과 공동조사권을 발동한 한국은행, 검찰 그리고 국가정보원 등이 사태조사에 관련이 있다. 많은 기관들이 관련되어 있어서 자칫 사태 조사를 더디게 하고 복잡하게 만들 수 있는데 책임과 권한을 갖는 단일 기관을 만들어 일관적이고 상시적인 체계를 만드는 것이 중요할 것이다.
 
정책적으로는 전자금융거래법이나 금융권을 감독하는 기준인 IT감사기준도 보안 측면에서 현재의 기술 및 실정을 반영하지 못하고 있는 것이 사실이다. 개정이 필요하다고 할 수 있습니다. 또한 장기적으로는 보안인력 양성에 무엇보다 주력해야 할 것이다.
 
보안인력은 법, 정책, 기술 등 복합적인 지식을 필요로 하기 때문에 장기적이 계획이 필요하다. 금융권뿐 아니라 분단국가인 우리나라의 경우, 한명의 우수한 보안전문인력이 미치는 영향은 대단할 수 있다. 수도권에는 경기대학이외에 정보보안을 양성하는 학부가 없는 것도 큰 걸림돌이다. 수도권 정원 등, 정책적으로 결단해야 할 문제라고 생각한다.
 
(www.SBSCNBC.co.kr)
(보다 자세한 내용은 동영상 시청을 바랍니다.)

ⓒ SBS Medianet & SBS I&M 무단복제-재배포 금지

원문 기사 보기

추천영상

많이 본 'TOP10'

  1. 1."50억은 어림도 없네"…한국서 통장에 얼마 있어야 찐부자?
  2. 2.일하면 189만원, 쉬어도 204만원…실업급여 '땜질'
  3. 3."실손 있으시죠?"…수백만원 물리치료 밥 먹듯 '결국'
  4. 4."1인당 30만원 드려요"…소득 상관없이 돈 뿌리는 곳 어디?
  5. 5."에어컨에 70만원 순금이?"…LG에어컨의 기막힌 반전
  6. 6.삼성전자·SK하이닉스 제쳤다…취업하고 싶은 기업 1위는?
  7. 7."화장실로 착각 안 통한다"…벌금 없이 바로 징역형
  8. 8.[단독] ISA 비과세 혜택, 국내 투자에 더 준다
  9. 9.몰라서 매년 토해냈다…연말정산 세금 이렇게 아낀다
  10. 10.상무님 프사는 이제 그만…카톡 친구탭 바로 본다

최신 '영상/포토'

스포츠