통신사와 금융회사에서 대형 해킹사고가 연이어 터지고 있다. 롯데카드는 해킹으로 고객 28만명의 카드 비밀번호, CVC(카드 뒷면 3가지숫자) 등 민감한 신용정보까지 유출됐다. 서울보증보험은 렌섬웨어 공격으로 나흘간 업무가 마비됐다. 저축은행, 자산운용사, GA(법인보험대리점) 등 전 금융업권에서 크고 작은 보안사고가 발생했다. 정부도 긴급 보안점검과 종합대책 마련에 착수했다.
침해사고가 터질 때 마다 '대책반장'처럼 가장 먼저 현장으로 달려가는 기관이 금융보안원(금보원)이다. 금보원은 사고가 터지면 사고 조사부터 재발방지 대책까지 마련한다. 평소엔 금융회사 대상의 화이트 해커를 활용한 블라인드 모의 해킹, 보안취약점 점검 등 금융보안의 최전선에 있다.
롯데카드가 297만명 고객 정보 유출에 대한 대국민 사과를 한 지난 18일, 박상원 금보원장을 서울 여의도 금보원 사무실에서 만나 최근 사태를 긴급 진단하고 AI(인공지능) 강국으로 가기 위한 필수 전제인 보안 역량 강화 해법에 대해 들어봤다. 다음은 박 원장과의 일문일답이다.
-최근 대형 침해사고가 금융권에서 연달아 발생했다. 누적된 구조적 문제가 있는 것인가.
▶지난 2014년 신용카드사 정보유출 이후 10년간 사고가 발생하지 않다보니 금융회사들이 관리를 소홀히 한 측면이 있다. 망분리(금융사 내부 전산망을 외부의 인터넷과 일괄 차단하는 규제·2013년 대규모 전산망 마비 사태 이후 도입)가 돼 있다보니 '우리는 안전지대' 라는 믿음도 있었다.
또 그동안에는 외부 해킹보다는 내부통제 부족으로 인한 직원의 정보 유출이 많았다. 하지만 최근 해킹이 고도화 됐다. 취약점을 찾아서 레이저빔을 쏘듯이 서버를 집중 공격한다. 악성코드를 금융사를 대상으로 무작정 뿌리기도 하는데 취약한 곳이 먼저 뚫린다. 해킹 공격 이후 정보 유출을 한뒤 흔적을 지우고 나갈 만큼 고도화 돼 금융회사가 피해 사실을 뒤늦게 인지하는 경우도 적지 않다.
-해킹 목적도 달라진것 같다. 과거엔 유출 정보를 팔아 이득을 취했다면 지금은 공격한 회사와 금전적인 협상을 하는게 목적이다. 실제로 예스24는 시스템 정상화를 위해 가상자산을 대가로 줬다고 한다.
▶렌섬웨어 공격을 받은 서울보증은 금융보안원 직원의 복호화로 공격 세력과 별도 협상 없이 정상화가 됐지만 이런 케이스는 사실 극히 드물다. 유출사실을 해당 기관에 알리고 협박할 목적으로 해킹 공격을 한다는 게 과거와 다른 패턴이다. 옛날 같으면 (계좌정보 노출 등의 이유로) 금전거래가 어려웠는데 지금은 가상자산으로 받으면 된다. 더구나 요즘 해커들은 조직적으로 움직인다. 정보를 뚫거나, 해석하는 것, 협상 등 역할을 분담하고 기술자를 고용까지 한다. AI가 발달해 일반인도 AI를 활용해 해킹을 시도할 정도다.
-과거 10년간 큰 사고가 없다보니 금융회사들이 보안에 대한 인식도 낮고, 투자도 안한다. 한마디로 하드웨어, 소프트웨어 모두 문제로 보여진다.
▶금융회사 CEO(최고경영자)를 만나면 보안 강화를 '비용'으로 인식한다는 느낌을 받는다. 경영진 입장에선 돈이 많이 들어가니 당장 아깝긴 할 수 있다. 내용연수 5년 지난 보안패치를 1~2년 더 쓰면 되는데, 바꾸면 비용이 들고 순이익이 감소하니 버티고 싶은 생각이 들 수 있다. 보안인력에 대한 홀대도 문제다. 금융회사 IT 인력의 8.4%가 보안담당인데 외국이 14%에 달한다. 보안 담당은 IT 분야에서도 소외돼 있고 권한도 많이 주지 않는다. 기업문화가 보안인력을 우대하는 쪽으로 바뀌어야 한다.
- 산업재해에 대해 중대재해특별법으로 강력 처벌하는 것처럼, 보안사고도 일벌백계해야 한다는 주장에 힘이 실린다.
▶기업이 일차적으로 책임을 져야 한다. 당국이 일일이 코칭 할 수도 없다. 가장 확실한 방법은 징벌적 과징금을 도입해 평소에 기업이 스스로 잘 관리 하도록 유도하는 것이다. 디지털금융보안법이 제정되면 징벌적 과징금이 도입된다.
-지금도 금융회사는 의무적으로 보안점검을 받고 있다. 형식적이라는 지적이 있는데 실제 어떤가.
▶금융회사는 전자금융거래법상 연간 1회 보안취약점 점검을 의무적으로 해야 한다. 자체 인력으로 해도 되고, 외주를 주거나 금보원에 맡길 수 있는데 자체나 외주는 형식적으로 흐르는 경우가 많은 게 사실이다. 대형 해킹 사고를 계기로 금융회사가 보안수준을 전반적으로 재진단하고 보안 투자, 인력 강화에 힘써야 한다. 그런데 우수한 보안인력이 절대적으로 부족해 갑자기 구하기 힘들다. 금보원은 실력이 검증된 화이트 해커 50명으로 '레드팀'을 꾸려 금융회사가 요청하면 모의 해킹 서비스를 한다.
-법 개정으로 지난 8월부터 이사회에 정보보호 관련 보고의무가 신설됐다. 이사회도 달라져야 할 것 같다.
▶정보보호와 관련해 CISO(정보보호책임자)가 이사회에 의무 보고를 해야 하고 책무구조도 시행으로 보안사고에 대해 경영진 책임은 강화됐다. 요즘 제가 직접 금융회사 사외이사들을 만나 정보보안 교육 설명회를 한다. 사외이사들도 책임이 생기니까 어떻게 관리할지 부담도 갖고, 긴장도 한다. 아예 보안 전문가를 이사회 구성원으로 선임하거나 외부전문가를 통해 정보보안 수준을 객관적으로 평가해야 한다. 침해사고가 터진 상장 금융회사의 경우 주가가 급락했다. 경영상 주요 리스크(위험) 요인이다.
-그렇다고 보안만 강조하면 망분리 완화, AI와 클라우드 활성화 등 디지털 혁신에 역행할 수 있다.
▶맞는 말이다. 다시 망분리 강화로 돌아가면 앞으로 AI 강국으로 갈 수 없다. 디지털 혁신과 보안 강화는 동시에 가야 하는 숙제다. 정보 보안에 자신 없으면 망분리 못하는 것이고, 자신 있으면 과감하게 디지털 금융으로 가야 한다. 스테이블코인의 경우도 지금은 발행·투자에만 관심이 많은데 보안성 검증을 받아야 한다. 어떻게 보안검증을 할지 논의가 더 필요하다.
-보이스피싱도 중요한 이슈다. 금보원이 보이스피싱 AI 플랫폼 구축에 어떤 역할을 하나
▶보이스피싱 의심 정보를 공유하고 AI 분석 모델을 구축하는 실무를 맡았다. 1단계로 경찰청이 휴대폰에 악성코드가 깔린 고객 명단을 금보원에 주면 금융회사에 전달해 FDS(이상금융거래탐지시스템)에 활용하도록 했다. 10월부터는 금융회사, 경찰청, 통신사가 보유한 사기의심 거래 정보를 모두 받아서 정보를 집중하고, 전 금융권이 해당 정보를 공유해 보이스피싱 의심거래를 사전에 차단한다.
-금보원이 다양한 역할을 하고 있다. 올해 설립 10주년인데, 금융보안 전담기관으로 발전 방향은 무엇인가
▶설립 당시 150명 내외이던 직원수가 2배 가량 늘어 300명이 넘는 조직이 됐다. 조직의 강점이자 앞으로 발전이 가장 필요한 부분은 우수 인력의 확보다. 금보원은 인적 자원이 중심이 되는 조직이다. AI, 디지털자산 등 금융을 둘러싼 환경이 빠르게 변화하고 해킹기법도 고도화돼 그에 맞는 전문성이 필요하다. 직무 연수, 해외 컨퍼런스 참석, 해킹대회 출전 등 다양한 채널을 통해 직원들 모두가 세계적인 수준의 금융파수꾼이 되는 것이 목표다.