[포럼] 금융정보 사후규제 시스템 필요하다

입력: 2018-06-12 18:00

폰트

김인석 고려대 정보보호대학원 교수

김인석 고려대 정보보호대학원 교수

개인 PC를 해킹해 한사람 한사람의 예금을 인출해가던 시대는 옛 이야기처럼 들린다. 이제는 은행 전체를 털어가는 해킹이 전 세계적으로 발생하고 있다. 대표적인 사례로 2016. 2월에 발생한 방글라데시 중앙은행에서 1억100만달러가 인출된 SWIFT 해킹사고와 2015년 세계 30여 개국 100여개 은행에서 10억달러를 인출해간 카르바낙(Carbanak) 해킹사고를 들 수 있다. 이러한 사고는 과거 영화에서나 볼 수 있었던 것들이 현실에서 발생하고 있는 것이다.

또한, 2016년도 전 세계를 강타한 랜섬웨어 공격은 안전한 지대가 없다는 것을 다시 확인시켜주는 계기가 됐다. 우리나라 금융회사들도 2005년도 A은행 인터넷 뱅킹 해킹을 비롯해 신용카드 복제, 개인정보 유출, 파밍, 스미싱, 보이스피싱 등 수 많은 사고로 막대한 피해가 발생했고 현재도 지속되고 있다.

다행히 2017년 후반부터 현재까지 과거와 같은 큰 사고는 발생하고 있지는 않다. 일부 전문가들은 이를 두고 우리나라 금융회사들의 완벽한 보안체계 구축 효과라고 주장하는 이도 있고, 해커 등이 새로운 공격을 위한 준비 중이라는 이들도 있다. 나는 양쪽 모두의 의견이 맞는다고 생각한다. 우리나라 금융회사들의 보안체계는 전 세계적으로도 잘 구축돼 있다고 본다.

개인 PC, 스마트폰은 물론 네트워크 구간, DMZ 구간, 주 서버 구간 등에 필요한 각종 보호시스템을 구축하고 있으며 망분리, 암호화, 빅데이터 시스템 구축, 이상거래탐지시스템(FDS) 구축 등 정말로 많은 보안시스템을 구축하고 있다. 그러나 IoT, 핀테크, 로봇 어드바이저, 간편결제 등 새로운 금융서비스 이용 수단들의 등장과 인터넷 전문은행의 등장으로 인한 온라인 계좌개설 등으로 새로운 위험요인은 현재의 보안체계로는 방어가 완벽하다고 그 누구도 장담할 수 없다. 이러함에도 금융회사들의 정보보호에 대한 인식이 과거 사고가 많이 발생하던 2013~2014년도에 비해 크게 둔화된 것으로 보인다. 실제로 일부 금융회사들은 정보보호 조직과 인력을 축소하고 전문 인력 양성에 소극적인 양상을 보이고 있다.

많은 경영자들이 정보보호는 금융산업과 신 개념 금융서비스 도입, 제 4차 산업혁명의 가장 중요한 기본요소라고 주장을 하면서도 막상 정보보호에 대한 인식은 아직도 사고가 나지 않으면 예산만 낭비한다는 인식이 자리 잡고 있는 것 같다. 카드사 정보유출로 인한 피해는 피해고객들 개인당 10만원의 보상은 별개로 하더라도 영업정지와 고객 이탈로 인한 피해가 5000억원을 훨씬 넘었고 임직원에 대한 처벌로 인해 개인적으로도 많은 사람들이 피해를 받았던 사실을 잊은 것이 아닌가 의심이 간다.

현 금융은 물론 혁신적인 금융서비스의 개발을 위해서는 가장 중요한 요소 중의 하나인 보안체계를 지금보다 한 단계 업그레이드 시켜야 한다고 판단한다. 본인인증을 위해 생체인증 등 다양한 인증수단을 적용해야 하며, APT 공격에 대응하기 위한 엄격한 망분리, 인공지능과 빅데이터 분석을 통한 이상거래 탐지시스템(FDS)의 고도화, 개인 및 고객 정보의 암호화, 신용카드 복제 방지를 위한 IC 카드 적용 등을 지속적으로 발전시켜 나가는 것이 필요하다.

특히, 이러한 시스템을 개발하고 운영하기 위한 인력의 양성이 가장 주요한 요소라고 생각된다. 인력의 양성은 단기에 이루어지는 것이 아니고 수 년동안 경험과 지식이 쌓여야 한 명의 전문가가 만들어지는 것이다.
그러나 우리나라 현실은 가장 중요하다고 하면서도 가장 꺼리는 분야가 정보보호 업무다. 그 이유가 여럿이 있지만 가장 큰 것은 사고나 장애 발생시 책임이 너무 무겁다는 것이다. 금융회사 직원들 중 본인의 의사에 반해 중도 탈락하는 직원의 대부분이 IT 요원 그 중에서도 보안인력들이 제일로 많다. 사고만 생기면 수십년 된 전문 인력들을 어제 심은 나무처럼 잘라버리는 것이 현실이다. 이러한 문제점을 보완해 책임과 창의적인 업무수행환경을 조성해 우수한 인력을 키우는 방안이 필요하다.

즉, 전통적 규제 중 금융 소비자 보호를 위해 금융회사 책임주의와 책임보험을 통한 위험분산이라는 큰 틀의 신뢰보호 제도는 유지하면서 개인의 사적인 이익을 위한 범죄행위에 대해서는 엄격하게 처벌을 하되 업무수행상 발생된 사고나 장애에 대해서는 과실 유무를 철저히 분석해 책임을 묻는 선진국의 사후규제 시스템 정책을 본받아, 금전적 손해는 책임보험제도의 강화로 위험을 분산하고, 형사책임제도는 기업들이 자율적인 보안정책을 취하고, 자율규제를 충실히 이행할 경우 개인이나 법인의 형사책임은 면제하는 등 위험 책임법리를 발전시키는 것이 보다 바람직하다.

또한, 국내는 물론 GDPR, 해외 영업점에 대한 각종 규제 등 날로 증가하는 해외 각국의 정보보호에 대한 다양한 컴플라이언스(Compliance)에 신속하고 적절히 대응하기 위해서 레그테크(RegTec) 시스템의 구축도 서둘러야 할 것이다.

끝으로 컴퓨터 시스템의 이용은 지속적으로 증가하고 이로 인한 해킹, 사고, 장애 등도 병행해 발생할 것이다. 특히, 블록체인, 가상화폐와 같은 새로운 서비스의 등장은 신종 해킹, 사기 등의 발생이 예상되므로 이에 대한 보안수단이 마련돼야 할 것이다. 모쪼록 금융회사들은 이러한 위험으로부터 고객의 소중한 자산과 정보를 보호하고 금융시스템의 신뢰를 지키기 위하여 끊임없는 노력이 필요하다고 생각한다.

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

[포럼] 금융정보 사후규제 시스템 필요하다

이 시간 핫클릭

핫 이슈!