“현재 금융기관에서 가장 큰 리스크는 사이버 보안 위협이다. ‘해커’의 공격이 아니라, 해커를 고용한 범죄조직에 의한 범죄가 가장 위험하다. 따라서 ‘해킹’ 그 자체에 집중하기 보다 범죄조직이 어떻게 수익을 얻는지 추적하고 금융기관 안팎의 리스크를 관리하면서 위협 수준을 낮춰나가야 한다.”
김홍선 SC제일은행 부행장은 19일 서울 여의도에서 열린 ‘금융정보보호 컨퍼런스(FISCON) 2016’ 초청강연에서 이같이 말하며 “공격자 관점에서의 보안 전략이 필요하며, 사람, 프로세스, 기술 등 모든 요소에 대해 ‘제로 트러스트(Zero Trust)’를 기본으로 한 접근방식을 택해야 한다”고 강조했다.
그는 “사이버 보안은 경영 리스크로, 최고 책임자의 강력한 의지와 통제력이 필요하다. 리스크 관점에서 보안위협을 정량화하고 모니터링하는 한편, 비즈니스와 유기적인 결합을 이뤄야 한다. 또한 공격자 입장에서 시큐리티 인텔리전스와 제로 트러스트, 지솎적인 훈련, 빠른 복원 등을 위한 정책을 마련해야 한다”고 주장했다.
금융권 자율규제 기조 확산되며 ‘보안’ 중요성 높아져
한편 이날 열린 금융보안원의 연례 컨퍼런스 ‘FISCON’은 금융정보보호협의회, 금융보안포럼이 함께 준비했으며, ‘금융·ICT 융합과 금융보안 전략’이라는 주제로 해킹시연, 초청강연, 주제발표 등 다양한 프로그램으로 구성됐다.
최근 경영진의 역할이 강조되고 있는 자율규제 기조가 확산됨에 따라 금융부문 협회장 및 한국정보보호 산업협회장, 금융회사 최고경영자 및 정보보호최고책임자(CISO) 등이 참석했다.
허창언 금융보안원 원장은 개회사에서“혁신적 ICT와 금융의 결합이 가속화되고 있으며, 국내에서도 인공지능, 빅데이터 기술 등을 활용한 금융서비스의 본격 도입과 성장이 기대되고 있다. 이에 적합한 보안 대책 수립과 리스크 관리 강화가 필수”라며 “이러한 혁신적인 변화는 탄탄한 자율보안체계 확립과 병행되어야 한다는 점을 강조하고, 금융생태계 구성원 모두가 수준 높은 금융보안을 달성하기 위해 함께 노력해야 한다”고 역설했다.
진웅섭 금융감독원장은 “급변하는 금융환경에 대응해 IT보안 규제 패러다임을 사전규제에서 자율규제로 전환하고, 국민들이 보다 안심하고 편리하게 전자금융거래를 이용할 수 있도록 20대 금융관행 개혁을 추진하고 있다”고 강조했다.
