금융보안을 총괄하는 금융보안전담기관 금융보안원이 4월 출범했다. 금융보안원은 금융결제원 및 코스콤 소속 정보공유분석센터(ISAC)와 금융보안연구원 직원으로 구성됐다. 금융업권별로 나눴던 금융보안업무를 전담한다.
통합 정보공유분석센터를 갖는 선진국과 달리 우리나라는 금융결제원이 은행업권 정보공유 분석을, 코스콤이 증권업권 정보공유 분석을 하다 보니 대형 보안사고 발생 시 정보공유에 한계를 보였다. 통합보안관제센터 역시 양사에 분할돼 있어 침해사고 일괄 대응이 어려웠다. 금융보안원은 개별 금융회사 금융보안 취약점을 분석 및 평가한 후 대규모 금융보안사고 발생 시 금융당국과 사고 공동대응에 나서게 된다.
금융권에서는 금융보안원에 거는 기대가 크다. 반면에 가입 금융회사가 대폭 늘어나 관리가 가능할까하는 의구심과 기존 ISAC 분할체계보다 효율성이 저하될 수 있다는 우려도 있다.
금융보안원이 세 기관 기능을 발전적으로 통합해 시너지 효과를 창출해야 한다. 최고 금융보안 전문기관으로 성장하길 기대하며 몇 가지를 제안한다.
첫째로 금융업권 전체에 대한 관리체계 확립이 필요하다. 기존 금융결제원 ISAC(84개사)과 코스콤 ISAC(64개사)은 개별 회원사를 운영했다. 보험회사, 금융유관기관 등은 선택에 따라 가입했다. 금융보안원으로 통합되면 모든 금융권역에 대한 일관된 관리체계 마련이 가능하다. 금융위원회와 금융감독원이 추진하는 정보보안 정책 전반을 검토하고 적용할 수 있는 유일한 기관이 금융보안원이다. 설립 초기에 금융회사 관리체계를 확립해야 금융회사 접점에서 컨트롤타워 역할을 수행할 수 있다. 금융보안원의 핵심 설립 목표기도 하다.
둘째, 개별 금융회사와 긴밀한 협조체계 구축이 중요하다. 지금까지 금융회사는 전담조직 구성 등 인적투자와 이상거래탐지시스템(FDS) 구축 등 물적 투자로 전자금융사고 대비와 개인정보보호 유출 예방을 강화했다. 사내에서 이뤄지는 부분이 크다 보니 타 기관이나 타 권역 정보공유가 부족하다.
금융보안원은 회원사(180개) 현황분석 및 정보제공을 유기적으로 수행해야 한다. 금융회사도 침해 의심정보를 적기에 금융보안원으로 알려줘 정보를 회원사 간 공유해 금융보안사고를 미연에 방지토록 해야 한다. 2016년부터는 12개 전자금융업자도 회원사로 가입 예상됨에 따라 종합적인 정보공유 허브 역할을 수행할 것으로 예상된다. 금융보안원은 법적으로 금융사고나 사이버 테러 조사권한이 없다. 타 기관과 정보공유체계를 얼마나 잘 구성하는지가 관건이다. 빠른 정보 공유로 회원사 침해사고에 능동적으로 대처할 수 있도록 지원해야 한다.
셋째, 중소형 금융회사나 제2금융권 지원 강화가 필요하다. 회원사 회비로 운영되는 금융보안원 특성상 많은 회비를 부담하는 대형 금융회사에 관심이 쏠릴 수도 있다. 정보보안 사각지대는 작은 규모 금융회사에 있다. 중소규모 금융회사는 인적·물적 지원의 한계를 겪는다. 기술적·물리적 지원이 더 절실한 중소형 금융회사나 제2금융권에도 혜택이 확대될 수 있도록 중장기적으로 접근해야 한다.
마지막으로 금융 정보보호관리체계(F-ISMS) 인증제도 조기 추진이다. F-ISMS는 기존 ISMS에서 금융서비스와 관련된 통제항목이 추가된 인증이다. 금융위원회가 2013년부터 신설을 추진해왔다. ISMS를 담당하는 미래창조과학부는 금융회사도 ISMS 인증 의무사업자이므로 F-ISMS 인증과 별개로 ISMS 인증 획득이 필요하며 대체할 수 없다는 입장을 보였다.
금융보안원이 ISMS 인증기관으로 지정되면 F-ISMS와 같은 금융권 특화된 정보보호 관리 체계를 개발·운영하는 것이 보다 현실적이다. 금융보안원은 금융권역에 적합한 보안체계 마련이라는 측면에서도 금융보안전담기관으로서 이를 적극 추진해야 할 것이다.
이건국 보험개발원 정보서비스부문장 kklee@kidi.or.kr