[더 리더] 박상원 금융보안원 원장 “디지털 안심 국가 실현을 위한 금융보안 전담 기구”

진행 : 머니투데이방송 강은혜 기자

출연 : 금융보안원 박상원 원장

오프닝)

시청자 여러분 안녕하십니까? '더 리더' 강은혜입니다.

디지털 기술의 발달로 금융업에도 첨단기술이 적용되며, 혁신 금융에 대한 기대감이 커진 요즘입니다. 하지만, 기술의 발달만큼 사이버 위협과 보안 리스크 문제에 대한 우려도 깊어진 게 사실인데요. 오늘 '더 리더'에서는 대한민국의 안전한 금융환경을 조성하며, 디지털 안심 국가 실현을 위해 힘쓰는 곳, 금융보안원의 박상원 원장 모시고 자세한 이야기 나눠보겠습니다.

- 바쁘신 가운데 나와주셔서 고맙습니다. 먼저, 우리 금융보안원이 좀 낯설 수 있는 시청자 여러분들을 위해서 어떤 일을 하는 곳인지 설명 좀 부탁드릴게요.

▶ 안녕하십니까? MTN 시청자 여러분. 저는 금융보안원에 근무하는 원장 박상원입니다. 우리 금융보안원은 대한민국 금융권의 사이버 안보 업무를 담당하고 있는 금융보안 전담 기구로서 2015년 4월에 출범하였습니다. 저희 원은 금융회사의 보안을 책임지고 또 금융권 공동 보안 체계를 구축해서 대응하는 업무를 수행하고 있습니다.

- 올해 1월 금융보안원의 제5대 원장으로 취임하셨습니다. 반년 정도 지났는데, 그동안 어떻게 보내셨나요?

▶ 제가 금년 1월에 원장으로 취임했는데, 최근 다들 아시다시피 디지털 금융하고 보안의 패러다임이 크게 바뀌고 있는 상황입니다. 그래서 저의 처지에서 금융보안원은 그럼 앞으로 어떻게 끌고 갈 것인지, 또 금융보안원이 금융보안에서 어떤 역할을 해야 되는지 그런 비전을 한 번 만드는 일을 한 번 해봤습니다. 이거를 하기 위해서 일단, 디지털 혁신을 비롯한 최근 금융환경을 좀 분석했고요. 그에 따른 또 저희는 금융보안원 금융회사를 위해서 존재를 하기 때문에 금융회사가 과연 보안 니즈를 어떤 거를 가지고 있나 파악을 했습니다. 이를 바탕으로 해서 지난 4월에 저희는 10대 과제를 선정하였고요. 창립 10주년 4월 기념 세미나에서 발표회에서 금융회사하고 공유한 바가 있습니다. 그리고 또한, 계속 저희 안전하고 신뢰할 수 있는 금융보안 환경 마련을 위해서 금융회사 또 제가 금융감독원 출신이다 보니까, 금융당국과 소통하고 또 금융회사와 금융당국 간의 가교 역할을 하는데 노력하고 있습니다.

- 금융보안원이 벌써 창립 10주년을 맞이했습니다. 그동안 금융보안원이 이룬 성과는 또 어떤 것들이 있을까요?

▶ 저희 금융보안원은 2013년도에 금융사와 언론사의 전산망이 마비돼 있던 3.20 사이버 테러의 발단하고 또 2014년도에 카드 3사의 개인정보 유출 사고가 있었습니다. 이를 계기로 해서 금융시장이나 금융산업에서 금융을 전담하는 금융보안 전담기구 설립 필요성이 논의가 되었고요. 또 금융위 주도하에 2015년 4월에 저희는 출범을 하였습니다. 그간 10년간 저희 직원들의 전문성을 바탕으로 해서 그 역할과 규모는 지속적으로 확장되었습니다. 구체적으로 말씀을 드린다면, 저희가 설립 당시에는 관제의 보안성 평가도 서버 중심의, 보안 서비스 중심이었는데요. 그 이후에 금융회사의 비대면 계좌개설, 간편송금, 간편결제 등 신규 디지털 금융 서비스 관련해서 보안성 제고 업무를 지원하였고, 최근에는 AI, 클라우드, 공급망 보안 등 이런 신기술 기반 보안 업무를 수행하고 있습니다. 저희가 이렇게 업무가 좀 다양해지다 보니까, 조직과 인력이 출범 당시보다는 두 배로 확대되었고요. 아마 저는 금융보안원이 금융권 보안의 컨트롤타워로서 자리가 가고 있다고 생각하고 있습니다.

- 올해를 ‘AI 보안 역량 고도화의 원년’으로 삼고, 금융보안원의 역할과 앞으로의 방향에 대한 10대 과제를 발표하셨습니다. 구체적인 내용에 대해 말씀 부탁드립니다.

▶ 최근에 AI든 금융 서비스에서 디지털 금융은 좀 혁신이 일상화되고 뉴노멀 시대가 도래한 건 사실입니다. 이런 걸 반영을 해서 저희 금융보안원은 혁신에 도움이 될 수 있는 금융보안이 되도록 목표를 삼고 10대 과제를 선정하였습니다. 10대 과제를 세부적으로 말씀은 못 드리지만, 대략적으로 가장 화두인 AI, 디지털 자산, 클라우드, 모바일 등 새로운 기술의 변화에 맞춰서 금융의 안전성을 제고하고 디지털 혁신을 견인하는 보안성 모델을 만드는 작업을 저희는 수행하려고 합니다. 또한, 이미 저희가 우수성은 인정받은 금융보안원의 관제, 모의 해킹, 침해사고 분석 등에서 역량을 좀 더 강화하고요. 또 금융권 전반의 보안영역을 끌어올리기 위해서 정부가 추진하는 디지털 금융보안법 제정 작업에 참여해서 금융회사에 선진화된 자율보안체계 정착도 지원할 예정입니다. 또한, 뭐 아울러 이런 모든 것이 되려면 저희 금융보안 직원과 회사의 역량이 있기 때문에 회사와 직원이 함께 성장하고 만족할 수 있는 조직문화와 또한, 금융보안 전문가를 양성하는 인력양성, 또 성과 중심의 조직문화도 만들어나갈 예정입니다.

- 금융보안원 직원분들이 업계에서는 금융 시스템을 지키는 수문장이다. 이렇게 불리거든요. 그래서인지 실제로 외부행사나 대회에서 뛰어난 실력을 선보이고 있다고요? 자랑 좀 해주시죠.

▶ 금융보안원은 금융회사에 보안을, 서비스를 제공하고요. 때로는 이제 저희가 점검도 하는데 가장 중요한 거는 저희의 인력 구성, 또 인력의 역량이라고 봅니다. 특히, 사이버 보안 같은 경우는 어떤 IT시스템에 대해 의도하지 않는 취약점을 계속 공격자들은 공격을 하고요. 또 이걸 막아내야 되기 때문에 이걸 파악할 수 있는 개개인 직원들의 능력이 가장 중요한 부분입니다. 그래서 아마 여러분들이 아시다시피 우리나라에 많은 화이트해커가 있는데, 아마 화이트해커의 가장 우수한 인력들이 저희 보안원에 가장 많다고 저는 자부하고 있습니다. 예를 들면, 해커들의 올림픽이라고 하는 세계 최고 권위의 해킹대회인 데프콘이 있는데요. 거기가 저희가 연합팀 해서 3위에 입상도 하였고요. 이게 나토 북대서양 조약 기구인 나토가 주관한 해킹대회 훈련에도 국정원하고 같이 국가대표로 참석해서 뛰어난 성적을 거뒀습니다. 그리고 보안 관련 국제 학회나 이런 데 발표도 하고요. 학술지에도 게재하고 전문성은 저는 나름대로 보안원이 많다고 생각합니다.

- 원장님께서는 금융감독원에 오랜 기간 몸담으셨고, 지금은 금융보안원의 새로운 리더로 이끌고 계신데요. 어떤 포부로 임하고 계시는지요?

▶ 제가 이렇게 취임한 시기가 어떻게 보면, 보안이 좀 더 중요한 시기가 된 것 같습니다. AI 정부가 추진하는 혁신금융서비스도 있고 또 망 분리 규제 완화도 있고 자율보안체계로 전환되는 부분이 있는 데다가 최근에 여러분도 아시다시피 SK텔레콤 해킹 사고도 있다 보니까, 금융보안의 역할에 대한 어떤 시장과 또 산업의 그런 주문도 많은 것 같습니다. 저는 이런 환경에서 금융보안이 좀 더 한 단계 도약할 수 있는 조직이 되도록 조직이 나아갈 방향 비전을 제시하고요. 저희 조직원들하고 일관성 있게 그걸 좀 추진할 예정입니다. 저 개인적 소망은 3년 후에 금융보안원이 좀 더 안정되고 미래지향적인 조직이 되었으면 좋겠습니다.

- 금융의 디지털화로 인해서 금융보안의 중요성이 점점 더 커지고 있습니다. 금융보안원의 업무는 어떤 것들이 있는지 구체적인 설명 좀 부탁드릴게요.

▶ 아까 제가 대략 말씀은 드렸는데, 구체적으로는 우선, 금융보안원의 전통적 업무는 관제입니다. 저희는 금융회사에 대해서 24시간 365일 보안 관제를 실시하고 있고요. 또 금융회사와 침해대응훈련도 지금 하고 있습니다. 또, 만약에 사고가 발생했을 때 이번 SK텔레콤 같은 사고가 발생했을 때는 저희가 전문인력을 해서요. 해킹의 사고방식이라든지 아니면, 취약 원인, 정보 유출 여부 이런 조사도 진행을 하고 있습니다. 또한, 저희가 금융회사의 취약점을 정기적으로 점검하는 업무도 수행을 하고 있고요. 또 금융회사의 정보 체계에 대한 잘하고 있는 데는 인증을 주거든요. 그런 인증심사 업무도 ISMS라는 인증심사도 좀 하고 있습니다. 그리고 또 금융보안 컴플라이언스 같은 금융당국의 정책 수립에 저희가 참여해서 어떤 가이드나 안내서도 같이 만들고 또 금융회사에서 설명하는 기회도 갖고 있고요. 최근에는 혁신금융서비스라고 그래서 AI나 클라우드 같은 경우 망 분리 규제 완화에 따라서 금융회사가 사용을 하고 있는데, 그게 이제 보안성이 좀 확보가 돼야 됩니다. 그런 보안성 확보 관련해서 저희 금융보안원이 보안성 심사를 진행하고 있고요. 또한, 앞으로 이제 정부가 추진하는 디지털 금융법 제정 작업에도 일정 부분 참여하고 있습니다. 또한, 이제 금융회사 임직원들이 무엇보다 중요한 건 금융보안 기술하고 정책에 대해서 이해를 해야 되니까 그런 부분에 저희가 교육도 제공하고요. 대학생 금융보안 아카데미도 운영해서 미래 금융보안 인재양성도 저희가 추진하고 있습니다.

- 최근 AI 기술의 발전으로 금융권의 AI 도입이 빨라지고 있는데요. 보안 측면에서는 어떻게 대응하고 계신지도 궁금합니다.

▶ 최근에 AI가 신정부 과제이기도 하고, AI가 전반적인 금융뿐만 아니라, 모든 산업에 앞으로 우리나라가 발전해야 할 부분이라고 생각합니다. 근데 AI가 가장 활성화되려면 가장 위험이 있는 정보 노출 위험, 또 거짓 정보를 할 수 있는 그런 보안성에 대해서 좀 해야 되는데 저희 금융보안원은 그런 부분에 대해서 AI 모델에 금융회사가 구축한 AI 모델에 보안성 검증 체계를 지금 운영하고 있습니다. 구체적으로 말하면 AI 모델에 대해서 저희가 다양한 방식으로 한 번 모의 해킹을 실시해 그 AI 모델이 중요정보를 유출하는지 또 의도되지 않은 어떤 말을 하는 기능을 수행하는지 점검을 해서 그 오류를 잡아 교정도 하고요. 또 아까 말씀드린 금융회사 망 분리에 따라서 생성형 AI를 도입하고 있는데, 저희가 그거 관련해서 혁신금융서비스 보안대책 관련 이행 여부 등을 저희가 사전점검하고 있습니다. 또한, 앞으로 AI가 구체적으로 된다면 무엇보다 중요한 건 보안 확보하고 또 이게 이제 금융회사가 어떤 지침에 따라서 따라가야 되기 때문에 금융당국하고 같이 금융보안 AI 가이드라인 마련 작업도 현재 진행 중에 있습니다.

- AI 보안 전문인력을 양성하기 위한 교육도 담당하고 계신다고요?

▶ AI 보안 업무는 다양하고 최근에 수요가 급격히 늘고 있는데 기존의 보안 평가 방식하고는 좀 다르게 진행될 필요가 있습니다. 저희 금융보안원도 AI 보안보다는 전통적인 서버 보안에 특화된 직원들이 많은 것도 사실입니다. 그래서 저희는 나름대로, AI 보안 전문인력 양성을 위해서 전 직원의 10%를 현재 전문교육과정을 개설했고요. 또, 교육을 진행하고 있습니다. 교육이 완료되는 대로 열 명 정도 인력을 최종선발해서 AI 보안 담당 조직을 확대하고요. 이 프로그램이 성공하는 경우에는 금융회사를 대상으로도 저희가 교육을 좀 확대할 예정입니다.

- 최근 위믹스 가상자산 해킹 사태를 비롯한 디지털 자산의 보안 사고 문제가 계속 화두인데요. 금융보안원은 최근 디지털자산 보안 전담 조직인 디지털자산보안팀을 신설하셨어요. 어떤 일을 하는 곳이고, 또 앞으로의 운영계획도 궁금합니다.

▶ 다들 가상자산 거래소의 보안성이나 안정성에 많은 걱정을 많이 하시는 거로 알고 있습니다. 아마 이런 일환으로 금융위하고 저희하고 해서 지난 5월에 다섯 개 대형자산거래소가 저희 원 사원으로 가입을 했습니다. 이제 사원으로 가입해서 금융권 수준의 보안관제, 이상(금융)거래 정보 공유, 침해사고 예방 대응 등 저희가 각종 서비스를 제공할 예정입니다. 보안에 대한 최종 책임은 거래소 자체가 있지만, 저희가 2차 방어막으로써 같이 보조자의 역할을 하기 때문에 기존보다는 소비자분들은 걱정을 덜 하셔도 될 것 같습니다. 저희 아까 앵커님이 말씀하신 거 같이, 이러한 거래소 사원 가입에 따라서 저희가 이제 팀을 신설했고요. 그 팀의 다들 해킹을 걱정하셔서 저희 원에서 최정예 화이트해커를 팀장으로 발탁해서 배치했고요. 앞으로도 계속 디지털 자산 특히, 가상자산 거래소에 문제가 없도록 잘하겠습니다.

- 새 정부 들어서 스테이블 코인이나 가상자산 관련 정책들의 변화도 예상이 되고 있는데요. 금융보안원에서는 어떤 준비를 하고 계신가요?

▶ 가상자산 2단계 법이라든지 통과되고 스테이블 코인 제도가 도입된다면 보안의 중요성도 기존의 서버 중심에서 아마 블록체인 중심의 보안성 평가가 좀 이루어지리라고 생각합니다. 근데 사실, 블록체인 보안성 평가에 대해서는 저희 금융보안원뿐만 아니라, 금융회사하고 아직 사회, 저희 국내에서는 좀 부족한 부분이 사실입니다. 이제 입법되기 전에 또 시행되기 전에 보안원에서 충분히 그걸 할 수 있는 인력을 양성하고요. 또 체계적인 매뉴얼도 만들어서 차질없이 보안성 평가가 이루어지도록 하고요. 또 정부하고 국회 입법 과정에서도 이런 보안 관련해서는 저희가 적극적으로 지원을 하겠습니다.

- 닥사 가상자산거래소들이 금융보안원의 회원사로 가입을 했는데요, 이게 또 이제 제도권으로 입성했다. 이런 의미를 부여할 수 있을 것 같은데, 앞으로 기대효과에 대해 어떻게 보시는지요?

▶ 현재 가상자산 법은 이용자 중심의 법입니다. 그래서 가상자산거래소나 사업자의 규제 역할은 없거든요. 그러다 보니까, 금융회사는 전자금융거래법이나 이런 데 적용을 받아서 나름대로, 그 보안 수준을 좀 지키고 있는데 가상자산 사업자인 경우는 지금 적용되는 법이 이용자 법, 현재 고객 이용자법이고 어떤 정보보안 쪽의 법은 적용은 안 받고 FIU(금융정보분석원) 관련해서 특금법, 이쪽에만 적용을 받고 있습니다. 근데 저희 가상자산 사업자가 저희 사원사 가입했다는 거는 이제 어떻게 보면, 제도권 수준의 금융보안을 정보보안을 가져야 된다는 의미도 사실 됩니다. 저희가 물론, 보안 관제, 이상 거래 정보 공유, 침해사고 예방·대응 교육도 시키고 하지만, 무엇보다 저희 205개 다른 금융권 사원들과 같이 어떤 정보도 교류하시고 또 어떻게 보면, 제도권 금융으로 이제 보안은 부분에서는 들어왔다고 보시면 될 것 같습니다. 아마 스스로도 보안에 더 신경 써서 하실 거고 저희도 보고 있고 각종 금융회사도 같이 보고 있어서 그런 부분은 걱정 안 하셔도 될 것 같습니다. 필요하다면 저희가 좀 더 많은 역할이 뭔지도 계속 고민을 하고요. 2단계 법 한다면, 가상자산거래소뿐만 아니라, 수탁업자라든지 보안업자 이런 부분까지 아마 좀 보안성 부분이 확대가 될 텐데 그런 부분까지 저희가 잘 준비해서 원활히 되도록 하겠습니다.

- 개인정보가 유출되는 등 보안 사고가 연이어 발생하고 있는데요. 금융보안원에는 어떤 영향이 있는지 또 이에 대비한 앞으로의 계획은 무엇인지 궁금합니다.

▶ 최근 정보 유출 등 보안 사고가 발생을 해서 여러분들이 많은 걱정을 하시는 거 알고 있습니다. 반대로 또 저희 정보보안을 담당하는 입장에서는 이런 보안의 중요성에 대해서 시장에서 인식을 해주는 것도 좀 사실이고요. 이에 따라서 저희 금융보안원도 역할과 책임이 있다고 생각이 듭니다. 앞으로 저희 금융보안원은 금융회사에 보안성을 적극적으로 지원하고요. 금융권 보안을 강화하는 데 노력할 예정입니다. 다만, 금융권에서도 CEO 등 이사회 차원에서 정보에 관심을 가지시고요. 투자하고 역량 강화, 인력 조직 확대 등은 필요하다고 봅니다.

- 앞으로 2년 반 정도의 임기가 남았는데요. 임기 동안 꼭 이루고 싶은 일이 목표가 있으시다면 어떤 게 있을까요?

▶ 금융보안원 창립 이래 10년이 지났습니다. 10년 동안 제가 생각하는 전통적 IT 보안 업무에서는 최고의 지위를 갖췄다고 생각합니다. 다만, 클라우드나 AI나 앞으로 새로운 디지털 기술이 발전이 되고 그에 걸맞는 금융보안의 중요성이 커질 텐데요. 그에 맞춰서 금융보안원이 충만한 역할을 할 수 있는 체계와 기반을 다져놓는 것이 저의 목표입니다.

- 평소 직원들과 소통하시면서 자주 강조하시는 당부의 말씀이 있다면 어떤 것들이 있으신가요?

▶ 금융보안원은 인적 구성이 가장 중요합니다. 그래서 저희 인적 역량 강화를 위해서 저는 가장 중요한 건 직원들의 전문성이라고 생각합니다. 그래서 기회가 될 때마다 좀 전문성을 가져야 된다. 특히, 이제 저희 금융보안원 직원들은 80%가 정보보안하고 컴퓨터 공학 쪽 직원들이 많은데 정보보안에서도 저희는 좀 금융에 특화돼 있기 때문에 금융을 좀 알아야 된다. 금융 지식도 알아야 되고 또 금융과 경제도 공부를 해서 균형 있게 해라. 그리고 또 저희가 해커나 해킹이나 해커나 포렌식 할 때 국제 수준에 떨어지지 않게 하려고 각종 해킹 대회도 참석해 국제 트렌드도 좀 익혀야 된다. 그리고 또 가장 중요한 건 요즘 MZ 세대에서 제일 중요한 건 워라밸이니까요. 너무 일만 하지 말고, 삶과 일의 균형을 좀 찾아라. 이런 얘기를 많이 하고 있습니다.

- 마지막으로, 우리 금융보안원의 리더로서 다짐의 한마디 부탁드립니다.

▶ 리더라기보다 저는 금융보안원의 그냥 직원들을 대표하는 사람이라고만 생각합니다. 저는 제가 금융감독원에서 금융감독 쪽은 전문성이 있을지 몰라도 제가 정보보안 기술이라는 부분에서는 다소 부족한 부분이 있습니다. 그렇지만, 저희 금융보안 직원들은 정보보안 부분에 최고의 기술을 가지고 있기 때문에 직원들을 믿고 저희 금융보안을 지키는 걸 한 번 해보겠습니다. 그리고 그 금융보안이 디지털 혁신의 초석이 될 수 있도록 역할을 하겠습니다. 감사합니다.

클로징)

급변하는 사이버 환경 속 안전한 거래를 위해 전력을 다하는 금융보안원에 대해서 알아봤습니다.

앞으로도 대한민국 금융보안 전담 기관으로서 기존의 사이버 위협에 대해서는 철저히 방어하고 새로운 기술이 불러올 변화에 대해 적극적으로 대응하며 금융산업발전에 이바지할 금융보안원의 행보를 응원하겠습니다.

☞ 우리사회 아름다운 리더들의 인생철학과 숨겨진 진면목을 만나는 MTN 감성인터뷰 '더리더'는 매주 월요일 오후 5시 30분 케이블 TV와 스카이라이프(152번), 유튜브-MTN 채널 을 통해 볼 수 있습니다.

또 스마트 모바일로 (머니투데이방송 앱, 머니투데이 앱/탭) 언제 어디서나 시청 가능하고 온라인 MTN 홈페이지 에서도 실시간 방송됩니다.