자율보안체계 확립, 금융보안원·금융회사 주도해야

김영린 금융보안원장이 `금융정보보호 컨퍼런스 2015` 개회사에 나서 "핀테크로 인한 변화가 경이롭기까지 하다"며 핀테크 시대 보안의 중요성에 대해 강조하고 있다. 사진=박종진 기자

자율보안체계 확립을 위해서는 공적 규제기관보다는 자율규제기관인 금융보안원과 당사자인 금융회사들 주도의 체계가 구성·운영돼야 한다는 의견이 나왔다.

김정덕 중앙대학교 교수는 23일 금융보안원 주최 서울 코엑스에서 열린 금융보안원 주최 '2015 금융정보보호 컨퍼런스'에서 "금융권 전체를 보는 자율보안체계를 마련해야 한다"며 이같이 밝혔다.

김 교수는 "지난번 발표된 금융당국의 자율보안체계 추진일정을 보면 금융위원회·금융감독원·금융보안원 위주의 방식으로, 금융회사가 없다"며 "자율규제기구와 그 대상자가 자율보안체계의 공동 주체인데, 금융사의 역할이 안 보이는 게 아쉽다"고 평가했다.

그는 금융위와 금감원을 공적규제기관으로, 금융보안원과 금융협회를 자율규제기관으로, 금융회사를 주체로 분류하고 금융보안원과 금융회사의 자율보안체계 확립을 위한 역할에 대해 강조했다.

금융보안원은 자율보안체계 조기 정착을 위해 '에이전시(Agency), 서포터(Suporter), Spokesperson(대변인), 씽크탱크'의 역할 등을 수행해야 한다고 지적됐다.

김정덕 교수는 "금융보안원이 해야 할 일은 금융당국의 여러가지 제도들을 대신해 시행해주는 에이전시, 자율보안체계를 구축할 수 있도록 금융사를 지원하는 서포터, 금융위협 및 취약점에 대해 정보를 공유하고 정책 제안 및 금융회사 의견을 전달하는 대변인 역할과 더불어 정책을 제안하는 씽크탱크 역할을 해야 한다"고 당부했다.

이어 "자율규제기구로서 보안원의 역할 및 책임 명확화 및 역량을 강화하고, 사업·업무 및 금융권역별 특성에 따라 다른 역할 모델을 적용하며, 멘토로서 전문성을 확보해야 한다"고 덧붙였다.

금융회사에 대해선 자율 역량을 제고하고 주인의식을 가지는 한편 조직·인적 자원 등의 확대가 필요하고, 보안관리 활동이 순간적이기보다는 내재화·자동화돼야 한다는 의견을 제시했다.

금융당국은 자율보안체계를 직접 주도하기 보다는 시장에서 체계가 확립되도록 지원 및 환경 조성에 주력할 것을 약속했다.

김동환 금융위원회 전자금융과장이 '핀테크 산업 육성의 필요성'에 대해 강조하고 있다. 사진=박종진 기자

김동환 금융위 전자금융과장은 "금융보안은 핀테크 산업 육성의 기본 전제로, 금융산업 자체에서 반드시 지켜야 하는 산업 과제"라며 "정부 주도에서 민간 중심으로, 고객 중심의 사전 대응이 아닌 금융회사의 사후 모니터링을 강화하는 방식으로, 대체인증수단 적용을 활발히 하고 금융보안 주체별 역할 정립 및 협력 강화에 힘써야 한다"고 강조했다.

김 과장은 "금융위원회·금융감독원과 금융보안원, 금융회사와 협회 간 유기적 협조체계를 구축하겠다"며 "당국은 제도를 적립하고 사후 관리 등 심판을 하는 기능에 집중하고, 민간 부분에 있어서 더 책임감 있는 적극적인 대응을 강구해야 하고, 금융보안원은 또 해나가야 할 역할이 많을 것"이라고 내다봤다.

금융위는 앞으로 금융회사 중심의 이상금융거래탐지 고도화가 이뤄질 수 있도록 지원하고, 신규 서비스 및 기술에 대한 보안성 강화와 핀테크 시대 주요 보안 위협에 대해 지속적으로 확인해나갈 계획이다.

김유미 금감원 IT금융정보보호단 선임국장은 금융·IT 신서비스 출현 및 금융보안 패러다임의 변화 등을 반영한 금융IT감독·검사 방향에 대해 설명했다.

김유미 금융감독원 IT금융정보보호단 선임국장이 'IT·금융 융합 신서비스'에 대해 설명하고 있다. 사진=박종진 기자

김 선임국장은 "금감원의 IT감독 방향은 균형감 있는 정책 실현, 전자금융 보안수준 제고, 개인정보보호를 관리 강화하는 방향으로 '원칙 중심의 감독'"이라며 IT검사 방향에 대해서는 "IT 검사틀의 근본적 전환, 검사 방식 및 절차 쇄신, 금융회사 내부통제 강화 등 '컨설팅 위주의 검사'를 통해 민간중심의 자율보안체계 조기 정착 지원 빨리 잡을 수 있도록 최대한 지원할 것"이라고 말했다.

이어 금융회사들의 대응 전략으로는 금융보안 인식을 제고하고, 보안실무자협의·비조치의견서 등 다양한 소통채널을 활용해 지속적으로 보안 강화를 업그레이드 해나가야 한다고 조언했다.

최근 폐지 움직임이 가속화되고 있는 액티브X에 대해서는 도입 당시에는 한계가 있어 최상의 조치였지만, 10년이 지난 지금도 우리나라에서만 통용되는 기술을 계속 써야 할 것인지에 대해 고민이 필요하다는 지적이 나왔다.

김기영 플라이하이 실장은 신뢰컴퓨팅기반(TCB)의 중요성에 대해 강조하며 "액티브X는 도입될 당시 미국이 보안 등에 제한을 걸었기 때문에 보안을 위한 최선의 조치였고 안전했다"면서도 "프로토콜이 개선되고 있는데 옛날 방식을 쓰고 있는 현재 방식을 고집해야 할지, 최근 MS(마이크로소프트)사의 윈도우10 업그레이드 때처럼 우리나라만 다른 방식을 쓰고 있으니 예외를 적용해달라는 상황이 계속돼야 할지 한 번 생각해봐야 한다"고 문제를 제기했다.

금융보안원은 최근 IT신기술 도입 등으로 인한 보안 패러다임 변화에 편리함과 안전함을 동시에 추구할 수 있는 전략을 마련하는 등 적극적으로 대응할 것으로 전망된다.

김영린 금융보안원 원장은 이날 개회사를 통해 "지금은 'ICBM 시대'로, I는 사물인터넷(IoT), C는 클라우드 컴퓨팅(Cloud computing), B는 빅데이터(Big data), M은 모바일(Mobile)을 뜻한다"며 "최근 한 행사에서 ICBM은 대륙간탄도미사일이 아니냐는 우스갯소리를 들었지만, 이는 ICBM이 가능성을 주기도 하나 잘못 사용하면 무기가 되기도 하는 상황을 표현한 재치있는 말로 볼 수도 있다"고 전했다.

김 원장은 "모바일 결제 활성화를 통해 지폐 거래가 줄고, 클라우드와 블록체인 등이 도입되는 등 금융권에서 변화가 일어나고 있다"며 "이는 국가의 경제성장을 주도할 수 있는 미래 사업이나 국가 경제 차원에서 보면 위기이자 기회이나 금융과 ICT의 융합이 곧 보안과 편의성·효율성을 담보하는 것은 아니기 때문에 대응 전략이 필요하다"고 강조했다.

한편, 이날 행사에서는 전자금융 및 정보보호 정책과 더불어 금융·IT 융합 활성화, 개인정보보호, 최신 보안 기술 및 트렌드에 대해 3시간에 걸쳐 두 개의 트랙으로 나뉘어 14개의 강연이 진행됐다.

박종진 기자 truth@segye.com

<세계파이낸스>