자본주의 사회에서 금융은 꽃이다. 다시말해 금융분야에서 문제가 발생하면 사회 전체가 혼란에 빠질 수 있기 때문에 가장 민감한 분야라고도 할 수 있다. 지난 4월 12일 오후 4시 56분, 농협전산망에 최초 장애가 발생했다. 시스템 삭제 명령 입력으로 인한 보안시스템 오류가 감지된 것이다. 이후 모든 시스템 가동이 중지되고 전산 통신망이 차단됐다. 금융사 기능이 마비되는 초유의 사태가 발생한 것이다.
 
왜 이러한 대형 사고들이 발생하는 것일까? 23일 코엑스에서 열린 2011 금융보안 그랜드 콘퍼런스에서 임종인 고려대학교 정보보호대학원 원장은 “보안은 비용일 뿐이라는 경영논리와 보안 불감증 때문”이라고 말하고 “보안장비들을 적절하게 설정하고 관리 운용할 수 있는 보안 전담인력의 부재로 인한 솔루션 성능 감소, 금융기관의 형식적인 규제준수와 감독당국의 형식적인 관리감독으로 인한 법적 규제 효과가 감소하고 있기 때문에 이러한 사태가 지속적으로 발생하고 있다”고 지적했다.
 
더불어 “사이버공격 특성상 실제 공격주체는 밝히기 어려운 상황에서 책임자는 없고 피해자만 존재하는 법적 공백이 존재할 우려가 있다”며 “고객의 피해를 구제하고 금융기관을 포함한 책임자의 도덕적 해이를 막기 위한 강력한 책임을 부여해 줄 법제 도입이 필요하다”고 강조했다.
 
◇금융전산망 보안문제점=금융보안의 문제는 여러가지 문제점이 복합돼 있다. 은행권 보안예산 비율은 금감원 권고치인 5%에 못 미치는 3.4%에 불과하다. 농협은 지난해 보안투자를 10억원 정도에 그쳤고 최근 23억 5천만원이 감소한 상태다. 또 경영진의 보안무관심과 독립성을 갖춘 최고보안책임자(CSO)의 부재, 자체적인 보안조직의 부재 및 보안인력 부족과 낮은 대우 등이 가장 큰 문제로 지적받고 있다.  
 
또 금융권은 IT 자회사나 외부 업체들에 최저가 입찰을 통해 보안기능을 위탁하고 있으며 금융사의 보안관련 외주용역 비율이 증하고 있는 것도 문제다. 현재 은행권은 외주용역 비율이 43%, 카드사는 71.8%에 달한다.
 
내부통제 실패도 주요 원인이다. 농협의 경우 수년간 비밀번호를 변경하지 않았고 초기값을 그대로 사용했다. 대표적인 금융기관이 지금까지 이렇게 허술하게 해왔다면 하위 금융기관들은 어떨까 미루어 짐작할 수 있다. 농협사태는 관리가 부실했던 노트북 한대가 모든 시스템을 마비시키는 결과를 가져왔다. 기본적인 내부통제가 이루어지지 못한 것이 화근이었다.  
 
또 농협의 경우, 권한이 탈취된 하나의 노트북을 통해 네트워크에 연결된 모든 시스템이 초토화됐다는 점, 그리고 현대캐피탈의 경우 고객정보를 암호화하지 않아 고객정보가 평문 상태로 그대로 유출된 것, 이런 문제는 비단 농협과 현대캐피탈 만의 문제가 아니다. 최상의 보안설계와 기술적 보호조치가 미흡했다는 것을 금융권 전체가 인정해야 한다.
 
한편 농협의 경우 원장기록이 삭제되는 등 금융기관에서 보관하는 전자기록물에 대한 무결성, 진정성 문제 해결을 위한 보안 및 증거능력 확보대책이 부실했으며 초동 수사 시 증거확보 미흡으로 수사를 혼선에 이르게 했고 사고 원인분석 인력과 시스템 미비로 적시에 사고원인 분석이 실패한 것도 다시 한번 새겨봐야 한다.  
 
또 그동안 정보기술 부문 실태평가 대상에 제2금융권은 빠져있었으며 은행권과 일부 금융권만이 정보통신기반시설로 지정된 것도 문제다. 더불어 600여 개 금융회사를 감사해야 하는 금감원 IT 서비스 검사인력이 11명에 불과한 것도 개선돼야 할 부분으로 저적받고 있다.
 
◇금융전산망 보안 강화 방안=임종인 원장은 “근본적인 체질개선과 총체적인 변화가 요구된다”며 “이를 위해서는 개별 금융기관과 금융당국, 정부 차원에서 각각의 대응체계가 확립돼야 한다”고 강조했다.
 
개별 금융기관에서 대응할 부분은 내부통제의 확립, 보안 아웃소싱 관리 개선, 보안투자 강화, 보안인력의 확보 및 처우개선, 보안 거버넌스 확립, 보안시스템 설계 강화, 기술적 보호조치 강화, 포렌식 준비 확립, 위험 커뮤니케이션 개선 등을 들 수 있다.
 
금융당국 대응방안으로는 전체 금융권 차원의 보안 거버넌스 구축, 금융보안 전담 법적기구 설치, 금융기관 보안수준 공시시스템 구축, 보안사각지대 제거, 금융당국의 보안검사인력 확충 등이 이루어져야 한다.
 
정부 차원의 대응방안은 금융보안인력 양성 지원, 사이버 안보 강화 차원의 민관협력 강화, 금융권 정보통신기반시설 지정 확대, 정보통신 기반시설 취약점 점검 강화 등이 마련돼야 한다.
 
특히 강조되는 부분은 개별 금융기관에서 보안 위험에 대한 전사적 보안관리와 신속한 사고대응을 위해서 독자적인 보안조직을 운영해야 하고 보안조직의 독립성과 효과성을 보장하기 위해 CIO와 구분되는 독자적 임원급 최고정보보호책임자(CSO)를 두어야 한다는 것이다.
 
또 금융당국에서는 전체 금융권 보안 거버넌스 차원에서 금융보안연구원과 같은 금융보안전담기구를 법적 기구화하고 각 금융기관 및 금융감독 기구들 간 정확한 역할 분담 및 조율을 수행할 수 있는 금융보안 조정기관이 필요한 상황이다.  
 
금융기관 보안수준 공시시스템 구축도 중요한 이슈로 떠오르고 있다. 각 금융기관의 보안투자 수준, 최고보안책임자 존재 여부, 보안위험관리 수준, 취약점분석 결과 등에 대한 투명한 공시시스템을 제공함으로써 고객들이 자신의 돈과 거래내역 등의 개인정보가 얼마나 안전하게 보호받고 있는지에 대한 알 권리를 충족시키고 안전한 금융기관을 선택해 거래할 수 있는 선택권을 부여해야 한다는 목소리가 높다.  
 
서종렬 KISA 원장 또한 “개별금융기관과 금융당국, 정부간 정보보호 협력체계 구축이 필요하고 금융기관 보안수준 공시제도를 도입해 금융기관들이 스스로 보안투자 비중을 높이고 정보보안이 곧 경쟁력 확보라는 인식이 확산될 수 있도록 제도마련을 해야 한다”고 강조했다. 현재 상장기업중 정보화 대비 정보보호 투자비중이 1% 미만인 기업이 81.4%에 달하고 대기업도 1%이하가 43%에 달하는 실정이다. 금융기관도 예외는 아니다.   
 
임 원장은 “금융 리스크를 줄이고 금융 서비스에 대한 신뢰를 높이기 위해서는 근본적인 체질개선과 총체적인 변화가 요구된다. 전체 금융권 리스크 관리 능력을 강화해야 하고 금융 보안 전문인력 양성이 우선적으로 준비해야 할 과제”라고 말했다. [데일리시큐=길민권 기자]