금융보안 사각지대 우려…자율보안에만 의존해선 안돼
[데이터넷] 올해 초부터 그동안 정부의 금융 보안에 관한 가장 대표적인 정책 중의 하나인 5·5·7 금융 보안 정책이 소멸됐다. 정부 추진 보안 정책 중 금융권에서 마련한 5·5·7 금융 보안 정책은 어느 정부 부처 보안 정책보다 금융 보안 사고 예방은 물론이고 대응 등에도 크게 기여했다. 금융기관은 물론이고 금융 전반에 대한 실질적인 보안 강화에도 큰 도움이 된 정책으로 많은 전문가들은 생각하고 있다.
우리나라 금융 보안을 지탱하게 해 주었던 5·5·7 금융 보안 정책이 아무런 사후 대책도 없이 사라졌다. 5·5·7 금융 보안 정책의 근거가 되는 전자금융감독규정의 연장이나 후속 조치도 없이 일몰됐다. 당분간 금융 보안 불안은 물론이고 금융 보안 사각지대가 발생하며 일시적이나마 금융 보안 사고 대비를 위한 인력이나 예산 등의 어떠한 규제도 없는 상황이 발생하게 됐다. 당분간은 금융권 자체의 자율 보안에 의존할 수 밖에 없는 상황인 된 셈이다.
잇따르는 금융 보안 사고
5·5·7 금융 보안 정책은 2011년 현대캐피탈 고객정보 유출과 농협 전산망 마비 사고 후 금융 당국이 사후 약방문으로 만든 정책으로, 경영진의 보안 인식 전환과 IT 보안 조직의 실질적 역량 강화 등을 포함한 금융 보안 종합 대책이었다.
이때 종합 대책에는 정보보호최고책임자(CISO) 지정 의무화, IT 보안 인력 및 IT 보안 투자 확대, 금융회사 IT 보안 사고에 대한 제재 수준 강화, 침해 행위 처벌 및 보고 체계 강화, 망 분리 등 접속 경로 통제 강화, IT 아웃 소싱 관리 개선 등 실질적인 금융 보안 종합 대책이 마련됐다.
IT 보안 인력 비율 및 IT 예산 비율을 일정 수준 이상 유지하도록 의무화하면서 전자금융감독규정에 명시한 내용이 5·5·7 금융 보안으로, 금융사와 전자금융업자는 전체 인력 중 5%를 정보기술 인력으로, 정보기술 인력 중 5%는 정보보호 인력으로 그리고 전체 IT 예산 가운데 7%는 정보보호 예산으로 사용하도록 한 정책이 최근까지 추진됐다.
5·5·7 금융 보안 정책이 소멸된 지금, 보이스 피싱, 랜섬웨어 공격 등 금융 보안과 관련된 심각한 사고들이 연이어 터져 나오고 있다. 은행 계좌와 카드 정보 등 1.5테라바이트(TB) 규모의 개인정보를 시중 은행에서 해킹해 외장디스크에 저장해두는 사건이 발생하고 있으며, 타인의 결제 정보를 이용하여 부정 결제를 한 토스 사건, ATM 활용한 금융 해킹 등도 발생하고 있다.
혁신·보안 병행 가능한 금융 보안 정책 필요
비대면 금융거래 확대, 지급결제 수단의 다양화, 금융 플랫폼 경쟁의 본격 시작, 금융 산업의 플레이어 다변화, 금융의 탈 중앙화 및 지능화도 본격적으로 시작되고 있다. 이렇듯 금융의 디지털로 인한 금융 산업의 패러다임이 급격하게 변화하고 있으며 특히 금융 보안 환경 또한 급격하게 변화되고 있다.
그러나 오픈 뱅킹과 마이데이터 정책 등의 새로운 금융 정책이나 개인정보보호정책에서 금융 보안 등은 물론이고 그동안 금융 보안의 핵심을 이루었던 5·5·7 금융 보안 정책마저 퇴보하고 사라져 가고 있다. 보안을 투자로 보지 않고 비용으로만 보는 우리나라 경영자들에게 보안을 자율로만 하라는 정책을 추진하려 하고 있다.
정보보호최고책임자(CISO)를 제대로 임명도 하지 않거나 임기도 제대로 보장하지 않는 것은 물론이고 정보보호 전문가 채용이나 정보보호 솔루션이나 보안 시설 투자에도 인색한 척박한 금융 보안 환경에서 그나마 5·5·7 금융 보안 정책과 금융 보안 종사자들의 헌신적인 노력으로 버티어 왔던 금융 보안 환경이 더욱 심각한 위협에 놓이고 있다.
최근 은성수 금융위원장은 정보보호의날 기념 금융 회사 최고 경영자 초청 세미나에서 “금융 보안을 대폭 강화하고 한 단계 높은 이용자 보호 체계를 마련하며, ‘혁신의 왼발과 보안의 오른발이 같은 보폭으로 나간다’는 균형 전략을 통해 지속 가능한 디지털 금융 혁신을 추진하겠다”고 밝혔다.
혁신의 왼발과 보안의 오른발이 같은 보폭으로 나가는 금융 보안 정책, 자율과 책임이 균형을 이루는 금융 보안 정책 그리고 포스트 5·5·7 금융 보안 정책이 조속히 마련되기를 기대해본다.
