.gif)
금융회사 CEO 보안인식 변화 필요...금융보안 IT거버넌스 정착돼야
[보안뉴스 김태형] 국내 시중은행들이 해킹사고에 대한 ‘늑장 보고’로 피해를 키우고 있는 것으로 드러났다. 민병주 새누리당 국회의원에 따르면 국민·신한·우리·하나 등 국내 7개 시중은행들이 지난해 ‘해킹’사고를 제때 보고하지 않은 사례가 1,781건에 달하는 것으로 나타났다.
이들 은행들의 보고가 늦어지면서 금융소비자들이 130억원 가량의 피해를 봤으며 올해 상반기에도 920건이 늑장 보고돼 피해금액이 51억원에 이른다.
이와 관련 금융감독원 IT감독실 정인화 실장은 “최근 IT 기술의 발달로 전자금융 거래가 확대되면서 전자금융 사고가 빈발하고 있다. 이에 금융감독원은 금융업계와 함께 금융보안 문제를 개선하고 대응책을 마련하고 있다”면서 “금융보안 사고가 발생한 금융회사는 사고 즉시 금감원에 보고해야 한다. 그래야 문제를 조속히 해결하고 피해를 최소화할 수 있다”고 말했다.
금융감독원 IT감독실의 가장 큰 기능은 금융IT의 감독·정책·제도에 대한 실무 지원이다. 4개팀 22명 규모로 구성되어 금융회사의 전자금융 거래 사고 방지와 새로운 전자지급결제 수단에 대한 안정성 검토, 그리고 해킹 등 보안사고의 대책 마련과 정책에 관한 지도 업무를 총괄하고 있다.
정 실장은 “외부에서 보면 금융감독원 IT감독실의 인력이 적다고 생각할 수 있지만, 금융과 관련한 보안과 DB전문가를 확보하려고 해도 국내 전문인력이 부족한 상황이기 때문에 전문인력 확보에 많은 노력을 기울이고 있다”고 말했다. 또한 그는 “전자금융거래 안전성을 따져보면 예전에 창구에서 모든 금융거래 업무를 처리할 때와 비교해서 지금은 IT 기술의 발달로 안정성은 많이 향상됐다고 본다”고 설명했다.
현재 전자금융 상황은 카드정보를 비롯해 은행거래, 전자거래 등 모든 업무가 촘촘하게 최첨단 IT 기술과 접목되어 있어 어느 것 하나라도 장애가 생기면 상당한 피해를 초래한다. 이에 작은 사고도 큰 피해로 이어질 수 있기 때문에 금융감독원 IT감독실은 이와 같은 금융 IT가 안전하게 운영되고 관리될 수 있도록 지도하는 업무를 중심으로 하고 있다.
정인화 실장은 “기존에는 외부 해킹 등에 의한 사고가 많아 이에 대응하는 것을 중요시 여겼다. 하지만 올해 주요 카드사 고객정보 유출사고 이후에 보안은 역시 사람이라는 원론적인 측면의 중요성을 다시 인식하게 됐다. 특히 내부통제가 무엇보다 중요하다고 판단하고 있다”고 밝혔다.
이에 금융감독원은 금융회사 내부지침과 업무 기준 등을 마련해 배포했다. 특히 금융정보의 생성·이용·유통·저장 등의 라이프사이클에 대한 관리의 중요성을 강조하고 있다. 이번 카드사 고객정보 유출사고로 인해 해당 카드사는 영업이익 절반에 해당하는 금전적 손해를 입었다. 이는 집단소송에 따른 비용을 제외한 것으로, 집단소송 비용을 포함한다면 금융회사의 존립을 위태롭게 할 수 있을 정도의 비용으로 늘어날 수 있다는 것.
정 실장은 “이처럼 금융IT는 촘촘히 연관되어 있어 최근 한 신용정보회사의 IDC센터 정전으로 이와 연관되어 있는 각 은행의 대출업무가 차질을 빚기도 했다. 이에 금융회사들의 전자금융사고에 대해서는 신속한 보고와 긴밀한 협조가 필요하다. 전자금융시대에는 금융시스템 자체에 대한 보호가 매우 중요하다”고 강조했다.
또한 금융회사의 보안도 중요하지만 금융 이용자 보호를 위한 정책도 필요하다는 것이 정 실장의 주장이다. 금융 소비자 보호를 위해서는 전자금융에 대한 소비자의 이해도에 따라 다양화·차별화된 서비스를 제공해야 한다는 것.
그리고 해킹기술 발달로 인한 전자금융 피해에 대해서 금융회사는 소비자 대상으로 전자금융 거래에 대한 보다 적극적인 안전성 교육과 홍보가 필요하다고 그는 설명했다. 특히 금융회사 위·변조 사이트나 유사 금융회사의 가짜 사이트에 대한 교육이 필요하다고 덧붙였다.
금융감독원은 앞으로 금융보안 강화를 위해서 기존 금융회사의 세세한 기준까지 정해놓은 규제를 원칙과 기준만 정해서 각 금융회사별로 규모와 업종에 맞게 자율적으로 추진하도록 금융보안관련 규제를 완화해 나갈 방침이다. 즉 보안만 강조하면 산업이 발전하지 못한다는 것.
끝으로 정인화 실장은 “금융보안과 관련해 금융회사에서 가장 중요하게 생각하는 것은 비용이다. 하지만 금융회사 CEO들의 보안에 대한 인식이 먼저 변화되어야 한다. 그래야만 보안투자가 확대된다. 아울러 금융보안 IT거버넌스의 정착이 중요하다”고 강조했다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)