금융보안원이 앞으로 금융 사이버침해 사고와 관련 있는 소프트웨어(SW)와 개발사 등을 조사한다.
올해 초 국내 보안기업 I사에서 전자서명인증서(코드사인)가 유출돼 금융권에 대형 사이버테러 위험이 높았다. 국산 보안 솔루션 취약점이 줄줄이 해킹 통로로 악용됐다.
금융위원회는 이 같은 문제 발생 시 빠른 대응을 위해 지난 6월 전자금융감독규정을 개정해 금보원에 침해사고 조사 권한을 부여했다. 전자금융감독규정 제37조에 따르면 침해사고대응기관(금보원)이 금융회사와 전자금융업자가 사용하는 SW에 대한 조사 분석을 할 수 있다.
지난 2월 I사 사고 후 보안제품 4개가 줄줄이 해킹 통로로 악용됐다. 이후 금융회사는 내부에 사용 중인 SW와 보안 솔루션 개발사를 점검했다. 당시 보안기업은 금융회사나 금보원이 조사할 권한이 없다며 반발했다.
금융위원회는 금융 사이버 사고예방과 자체 보안역량을 위해 금융회사가 사용하는 SW에 대한 취약점 분석 근거를 마련했다. SW 개발 기업이 해킹을 당해도 금융회사가 피해를 입지 않지 않게 위해서다.
금융위 관계자는 “기존에 규정이 없어 금보원이 금융회사가 사용 중인 SW 취약점을 이용한 침해 시도를 선제적으로 대응하는데 어려움이 있었다”고 설명했다.
지난 5일 개정된 전자금융감독규정이 시행되며 금융회사와 SW·보안기업 희비는 엇갈린다. 금융회사는 대형 사이버테러를 막기 위한 당연한 조치라고 환영한다. 금융회사에 솔루션을 파는 기업은 또 다른 규제라며 불만이 높다.
A금융회사 최고정보보호책임자(CISO)는 “2013년 3·20 사이버테러를 비롯해 올해 초 발생한 I사 코드사인 유출 등 금융권이 주로 사용하는 보안 SW가 해킹 통로로 이용됐다”면서 “전자금융감독규정 개정이 문제가 아니라 사이버 보안 기업 스스로 제품 내 취약점을 찾는 노력을 병행해야 한다”고 말했다. B사 CISO는 “국내 보안 기업이 자체 보안 거버넌스를 갖추지 않아 공격자의 표적이 됐다”며 “이번 전자금융감독규정 개정을 제품은 물론이고 기업 보안 수준을 한 단계 높이는 계기로 삼아야 한다”고 밝혔다.
C보안기업 임원은 “영세한 보안 기업이 금융회사에 사이버사고가 발생할 때마다 침해사고 조사를 받아야 한다”면서 “조사를 받는 동안 회사가 정상 운영되기 힘든 점 등은 고려하라”고 지적했다.
김인순 보안 전문기자 insoon@etnews.com
