금융당국은 인터넷뱅킹 등 비대면 채널의 급속한 이용 증가 상황을 반영해 IT보안 강도를 강화했다.
주요 내용은 △IT 예산 7%를 보안 예산으로 사용하고 △IT 전체 인원의 5%를 보안 전담 인원으로 채우라는 게 골자다. 이어 최근에 3·20 사태 이후 추가로 `금융전산 보안강화 종합대책`을 발표했다.
금융당국은 금융보안 컨트롤타워 설정과 각 금융사 보안정책의 책임 소재를 명확히하고 체계적 보안 프로세스 구축 방향을 제시했다.
여전히 쟁점은 남아 있다. 첫째 금융전산 망 분리 의무화 관련 사항이다. 물리적 망 분리는 보안성은 우수하지만 네트워크 장비 도입을 위주로 진행해 논리적 망 분리보다 도입 비용이 비싸다는 인식이 자리 잡았다. 물리적으로 별도 PC를 운영하는 데 보안 소프트웨어를 추가로 설치하고 유지 보수와 전력 비용 등이 포함된다. 요즘 같이 그린 IT 등 전력 수요 우려를 감안하면 금융권의 고민은 깊어만 간다.
금융 당국은 우선 물리적 망 분리는 금융사 전산센터에 도입을 의무화하는 것으로 방향을 정했다. 영업점과 본점은 논리적 그리고 물리적 망 분리 중 선택해 구축할 수 있도록 선택 가능성을 열어 놨다. 이는 바람직한 가이드라고 생각한다.
다만 물리적 망 분리가 완전한 망 분리를 구현해 안전성 확보 측면에서 논리적 망 분리보다 우세하다. 논리적 망 분리가 인터넷에 연결된 업무 망 보안에 약점이 있는 것은 사실이지만 논리적 망 분리 솔루션을 제공하는 업체의 제품 고도화가 빠르게 진행돼 적절한 관리만 수반된다면 충분한 보안 효과를 거둘 수 있다. 최근 금융회사 CIO 모임에서 전산센터는 물리적 망 분리, 본점과 영업점 등에는 논리적 망 분리로 추진하는 것이 바람직하다는 의견이 모였다.
둘째는 CISO(정보보호최고책임자) 역할과 독립성 강화 부문이다. CISO와 CIO(정보관리최고책임자)의 겸직과 직무분리에는 많은 논란이 있다. 보안을 강조하는 측면에서 CISO와 업무 운영 효율성을 강조하는 CIO와는 상충될 수밖에 없는 것이 현실이다.
CISO는 정책 입안 최초 단계부터 CIO와 유기적 커뮤니케이션과 협조 체계를 유지해 이상과 현실 사이에서 최적의 정책을 수립하도록 노력해야 할 것이다. 너무 이상적 정책이나 현실에 안주하는 정책을 경계해야 한다.
보안은 많은 투자와 인력을 투입해도 각종 침해에 완벽하게 대응할 수 없으며 인지된 위험을 최소화하는 것이 현실적 대처 방안이다. 전투에서 공격과 방어 비율을 일반적으로 1 대 3이라고 한다. 방어에 최소 세 배 병력이 필요하다는 얘기다. 마찬가지로 보안 역시 방어에는 몇 배 노력과 리소스 투입이 필연이라 할 수 있다.
보안 강화와 효율적 업무 운영은 비례 관계가 아니다. 바이러스 패턴 업데이트가 수시로 일어난다는 것은 완벽한 보안은 있을 수 없음을 시사한다. 최근 해킹 등 공격 추세는 APT(Advanced Persistent Threat) 방식이 주류를 이룬다. 쪽문 영역(개인 PC를 이용한 침투)은 거의 통제가 불가능하다. 즉 망 분리가 되어 있지 않은 상태에서는 더욱 위험한 상황이다.
가령 “안녕하세요? 저는 직장인으로 열심히 저축하여 금월 말 만기가 도래되는 적금을 가지고 있으며, K금융기관에 몇 개의 금융상품을 보유하고 있습니다. 보유 내역은 붙임과 같으며 이자율이 좀 더 높은 상품 또는 귀 행의 좋은 상품을 제게 추천해 주시기 바랍니다”라는 메시지와 함께 가상 이름과 전화번호 등이 기재된 메일을 받았다고 하면 금융기관 영업점 직원 대부분은 메일을 열어볼 수밖에 없다.
첨부 파일을 클릭하는 순간 본인도 모르게 해당 PC에 악성코드가 심어지고 APT방식에 의해 원격지 컨트롤센터 간 진화된 지속적 위험 교신이 가능하게 돼 개인 PC정보뿐만 아니라 시스템 서버까지 접근할 수 있는 상황으로 전개되는 것이다.
즉 보안 강화가 대문 영역도 중요하지만 쪽문 영역이 더 취약할 수 있다는 사실이다. 아울러 대문 영역은 1~2개지만 쪽문 영역은 사용자 개인 PC 각각으로 더 많은 취약점이 있다. 아무리 강조해도 지나치지 않는 보안강화, 효율성을 감안한 지속적인 개선과 투자와 논쟁은 디지털시대를 맞아 아마도 영원히 계속될 수밖에 없다.
공웅식 외환은행 IT본부장(wskong@keb.co.kr)
