금융권은 가장 많은 보안 예산을 지출하는 산업군으로 꼽히지만, 금융기관에서는 끊임없이 보안 사고가 발생한다. 올해 초 연이어 드러난 대규모 개인정보 유출 사고나 2011년 농협 전산망 마비 사고 등은 막대한 예산을 투입해 구축한 보안 시스템이 제대로 운영되지 않고 있다는 점을 여실히 드러냈다.
금융보안연구원과 금융감독원이 8일 개최한 ‘금융정보보호 세미나’에서 전문가들은 금융권의 보안사고가 줄어들지 않고 있는 이유로 지나치게 기술적으로만 접근했기 때문이라고 입을 모았다.
오재인 단국대 경영학부 교수는 ‘스마트금융ICT: 선진사례를 통한 빅피처를 갖자’는 주제의 초청강연을 통해 “금융서비스 프로세스에 맞는 정책을 수립하고, 종합적인 대책과 이를 수행하고자 하는 의지가 있어야 한다. ICT적인 해결책만으로는 같은 유형의 보안사고가 반복될 수 밖에 없다”고 지적했다.
김기영 안랩 실장은 “보안에 대한 책임을 소비자에게 지우는 방향으로는 답을 찾을 수 없다. 예를 들어 인텔은 인증서 등 중요한 정보를 안전하게 보관할 수 있는 저장소 기술을 프로세서 단에서 제공하고 있는데, 우리나라에서는 국내표준에 맞지 않는다는 이유로 이 기술을 사용하지 못하게 하면서 사용자들에게만 스마트폰 보안에 철저한 주의를 기울이라고 한다”고 지적했다.
앱카드 해킹 사고에서 볼 수 있듯, 사용자의 주의만으로 금융사기를 막을 수 없다. 아이폰은 금융사고에서 안전한 것으로 인식되고 있지만, 우회공격으로 피해를 입을 수 있다. 공격 기술은 언제나 기존 방어책을 뛰어넘으면서 유연하게 진화하는데, 현재 보안 정책은 한 방향으로만 정해지면서 지능적인 공격을 막지 못한다는 비판이다.
이어진 패널토의에서도 같은 지적이 이어졌다. 정현철 한국인터넷진흥원 침해사고분석단장은 “현재 공격은고정된 방어체계를 우회해 장기간에 걸쳐 진행되기 때문에 유연한 보안 정책이 필요하다”며 “해커들은 매우 부지런하고, 창의성이 뛰어나다. 오랫 동안 굳은 보안 관념으로는 현재 지능형 공격을 막을 수 없다”고 강조했다.
