2013년 3월 20일. 주요 방송사 시스템과 대형 금융사 전산망이 마비되는 초유의 사태가 발생했다. 컴퓨터가 일제히 작동을 멈추고, 농협은행·신한은행 등 대형 은행은 전산 마비와 함께 창구 거래 및 현금자동입출금기(ATM) 작동이 중단됐다. 모든 거래가 불능 상태에 빠졌다. 이른바 '3.20 전산망 마비 사태'다. 피해 규모는 추정이 어려울 정도다. 소비자 피해배상 소송도 잇따랐다.
3.20 사태가 벌어진 지 7년이란 세월이 흘렀다. 정부는 강력한 종합 보안 대책을 수립했다. 그러나 최근 금융시장은 급변했다. 규제샌드박스, 오픈뱅킹과 마이데이터, 핀테크 기반 서비스가 금융 생태계 구조를 바꾸고 있다. 이른바 '정보기술(IT)+금융' 융합 사업이 전환기를 맞았다.
일각에서는 기존 금융 보안 대책이 현재 금융 트렌드를 따라가지 못한다는 비판이 제기되고 있다. 강력한 보안은 필요하지만 산업 현실을 반영한 후속 보안 대책을 수립해야 할 때가 왔다는 것이다. 지난해 금융위원회 중심으로 핀테크 종합보안 대책을 수립한다는 이야기가 들려 왔다. 그러나 지금까지 감감무소식이다. 코로나19 여파로 업무 추진에 많은 제약이 생긴 건 맞다. 그렇다고 해서 손을 놓고 있으면 안 된다. 테크핀 영역을 포함한 '보안대책 업데이트 버전'을 만들 때가 왔다. 금융 산업은 장애가 한번 발생하면 막대한 금전 손실은 물론 국가 기간망이 마비되는 민감한 분야이다.
정부 핀테크 진흥 기조로 말미암아 과거에 비해 규제가 완화됐다. 많은 사업자가 생태계에 유입된 것도 사실이다. 그렇다고 몸집만 키우는 외형 확대에만 만족해선 안 된다. 진정한 유니콘 기업을 육성하고, 국내가 아닌 글로벌 시장을 겨냥하기 위해서는 '보안'이라는 기초 체력을 길러야 한다.
기초 체력을 기를 수 있는 트레이너 역할을 이제 정부 당국이 해야 한다. 지금이라도 핀테크 기업 수요조사를 거쳐 정말 필요한 보안 가이드라인이 무엇인지 파악하고 종합 보안대책 버전2를 마련해야 한다. 그렇지 않을 경우 3.20 전산망 마비보다 더한 재난 사태가 빚어질 수 있다. 사이버테러 수법은 날로 치밀하고 정교해지고 있다.
휴먼 에러를 악용한 공격 기법이 첨예화되고 있으며, 지능형지속공격(APT)과 랜섬웨어도 위협 요소로 작용하고 있다. 클라우드, 인공지능(AI), 사물인터넷(IoT), 모바일, 오픈소스 취약점, 암호화폐, 원격프로그램 대상 보안 위협 공세는 더욱 거세지고 있다. 정부는 이 같은 상황을 반영한 종합 보안 대책을 더욱 정교하고 치밀하게 수립해야 한다.
길재식기자 osolgil@etnews.com