국가안보실 등 정부의지 강경... 한국형 방식 수술대
“글로벌 은행처럼 서버 통제해야” vs “당장 PC 환경 대안 전무해” 정면 충돌
[보안뉴스 특별취재팀] 범부처 차원의 정보보호 종합대책의 일환으로 금융권 설치형 보안 소프트웨어 강제 폐지가 급물살을 타며 대격변이 예고됐다. 정부는 글로벌 스탠더드에 맞춘 근본적 체질 개선을 강력히 요구하고 있으나, 당장 뚜렷한 대안이 없는 은행과 증권사는 사고 책임까지 져야 할 위기에 처하며 패닉에 빠졌다.
▲국회에서 바라본 여의도 금융가 [출처: 연합뉴스]
29일 업계에 따르면 정부는 최근 금융권 보안 담당자를 불러 ‘금융권 설치형 보안 소프트웨어 개선 관련 회의’를 진행했다. 이 자리에서는 금융권 설치형 보안 소프트웨어 감축·전환 로드맵에 대한 실행 방안 논의를 비롯해 업권별 의견을 수렴한 것으로 알려졌다.
이번 조치는 학계의 잇따른 경고와 정부의 강력한 정책 의지가 맞물린 결과로 풀이된다. 앞서 카이스트 연구진은 웹 브라우저 보안을 우회하는 국내 의무 보안 소프트웨어의 구조적 취약점을 지적하며 근본적인 패러다임 전환을 촉구한 바 있다.
여기에 작년 발표된 정부의 ‘범부처 정보보호 종합대책’이 더해지면서, 고질적인 한국형 보안 갈라파고스 환경에서 과감히 탈피하겠다는 정부의 의지가 반영된 셈이다. 범부처 정보보호 종합대책에 따르면, 정부는 소비자가 금융 업무를 볼 때마다 의무적으로 PC에 깔아야 했던 ‘설치형 보안 소프트웨어’(키보드 보안, 방화벽, 백신 등) 레거시 보안 소프트웨어를 올해부터 단계적으로 제한한다.
대신 비밀번호와 일회용 비밀번호(OTP), 생체인식 등을 결합한 다중 인증(MFA)과 AI 기반 이상금융거래탐지시스템(FDS)을 전면 도입해 보안의 책임을 소비자 PC에서 금융사 서버로 완전히 옮기겠다는 방침이다. 일각에서는 이번 강경 드라이브의 이면에 사이버 안보 컨트롤타워인 국가안보실의 강력한 의중이 적용하고 있다는 분석도 나온다.
정부가 말하는 ‘글로벌 스탠더드’는 철저한 서버 중심의 지능형 보안을 의미한다. 미국 JP모건 체이스나 영국 몬조 등 해외 주요 금융사들은 소비자 PC에 별도의 보안 플러그인을 강제로 설치하지 않는다. 대신 접속 기기 정보, 위치, 거래 패턴 등을 서버단에서 실시간으로 분석하는 FDS와 제로트러스트 아키텍처를 통해 안전을 담보하며, 사고 발생 시 금융사가 100% 책임을 지는 구조다.
문제는 부족한 시간과 소통의 부재다. 작년 말 금융감독원이 진행한 사전 조사에서 금융권은 모바일 환경을 기준으로 “대체 가능하다”고 보고했다. 하지만 정부 당국이 4월까지 대체 계획안을 제출하고 연말까지 전면 전환하라는 지침을 통보하자 상황은 180도 달라졌다. 수십 년간 구축해 온 레거시 시스템을 단기간에 갈아엎어야 하는 업계 일각에서는 실무 부처인 금융당국조차 속도 조절이 힘들 만큼 상부의 드라이브가 거세다는 뒷말이 무성하다.
최근 소집된 금융권 보안 담당자 회의에서는 공동인증서를 제외하면 기존 키보드보안이나 PC 방화벽, 백신을 대체할 PC 환경 수단이 없다는 주장이 제기되며 혼란이 일고 있다. 특히, 모바일 중심인 핀테크나 카드사와 달리, PC 거래 비중이 압도적인 은행과 증권사가 직격탄을 맞았다. 수백만 명의 고객이 매일 이용하는 기존 시스템을 단기간에 안전하게 대체할 뾰족한 수가 없기 때문이다.
현장의 분위기는 폭풍 전야다. 익명을 요구한 금융권 보안 담당자 A씨는 “정부의 취지나 방향성에는 십분 공감하지만, 당장 고액 자산가나 중장년층이 주로 사용하는 PC 인터넷뱅킹과 증권사 거래 시스템(HTS) 환경에서는 대안 솔루션이 아예 없는 상황”이라며 “대체 가능하다고 보고했던 건 모바일 뱅킹 이야기였지, PC 환경까지 당장 올해 안에 다 걷어내라는 지시가 내려올 줄은 꿈에도 몰랐다”고 말했다.
더 큰 뇌관은 사고 발생 시 배상 책임에 있다. 그동안 설치형 보안 프로그램은 해킹 등 금융사고에서 금융권이 “의무 보안 조치를 다했다”고 주장할 수 있는 일종의 법적 방어막 역할을 해왔다.
또 다른 보안 담당자 B씨는 “가장 두려운 것은 책임 소재로, 글로벌 스탠더드처럼 사고에서 금융사가 수십, 수백억원의 책임을 떠안을 수 있다는 가능성 자체가 엄청난 공포”라며 “이에 대한 법적·제도적 완충장치나 가이드라인도 없이 시스템만 걷어내라고 하면 업계는 방법이 없다”라며 현장의 딜레마를 토로했다.
작년 연이은 해킹 사태 이후 종합대책을 마련한 정부의 의지와, 현실적인 한계를 호소하며 시간이 필요한 금융권 사이의 줄다리기는 당분간 불가피할 전망이다. 이번 사안이 단순한 금융 규제 개선을 넘어 ‘국가 사이버 안보 확립’이라는 거시적 명분과 맞닿아 있는 만큼, 현실적인 책임 소재를 두고 고심하는 업계와의 물밑 진통은 한층 더 깊어질 것으로 보인다.
[보안뉴스 특별 취재팀(boanone@boannews.com)]
“글로벌 은행처럼 서버 통제해야” vs “당장 PC 환경 대안 전무해” 정면 충돌
[보안뉴스 특별취재팀] 범부처 차원의 정보보호 종합대책의 일환으로 금융권 설치형 보안 소프트웨어 강제 폐지가 급물살을 타며 대격변이 예고됐다. 정부는 글로벌 스탠더드에 맞춘 근본적 체질 개선을 강력히 요구하고 있으나, 당장 뚜렷한 대안이 없는 은행과 증권사는 사고 책임까지 져야 할 위기에 처하며 패닉에 빠졌다.
▲국회에서 바라본 여의도 금융가 [출처: 연합뉴스]
29일 업계에 따르면 정부는 최근 금융권 보안 담당자를 불러 ‘금융권 설치형 보안 소프트웨어 개선 관련 회의’를 진행했다. 이 자리에서는 금융권 설치형 보안 소프트웨어 감축·전환 로드맵에 대한 실행 방안 논의를 비롯해 업권별 의견을 수렴한 것으로 알려졌다.
이번 조치는 학계의 잇따른 경고와 정부의 강력한 정책 의지가 맞물린 결과로 풀이된다. 앞서 카이스트 연구진은 웹 브라우저 보안을 우회하는 국내 의무 보안 소프트웨어의 구조적 취약점을 지적하며 근본적인 패러다임 전환을 촉구한 바 있다.
여기에 작년 발표된 정부의 ‘범부처 정보보호 종합대책’이 더해지면서, 고질적인 한국형 보안 갈라파고스 환경에서 과감히 탈피하겠다는 정부의 의지가 반영된 셈이다. 범부처 정보보호 종합대책에 따르면, 정부는 소비자가 금융 업무를 볼 때마다 의무적으로 PC에 깔아야 했던 ‘설치형 보안 소프트웨어’(키보드 보안, 방화벽, 백신 등) 레거시 보안 소프트웨어를 올해부터 단계적으로 제한한다.
대신 비밀번호와 일회용 비밀번호(OTP), 생체인식 등을 결합한 다중 인증(MFA)과 AI 기반 이상금융거래탐지시스템(FDS)을 전면 도입해 보안의 책임을 소비자 PC에서 금융사 서버로 완전히 옮기겠다는 방침이다. 일각에서는 이번 강경 드라이브의 이면에 사이버 안보 컨트롤타워인 국가안보실의 강력한 의중이 적용하고 있다는 분석도 나온다.
정부가 말하는 ‘글로벌 스탠더드’는 철저한 서버 중심의 지능형 보안을 의미한다. 미국 JP모건 체이스나 영국 몬조 등 해외 주요 금융사들은 소비자 PC에 별도의 보안 플러그인을 강제로 설치하지 않는다. 대신 접속 기기 정보, 위치, 거래 패턴 등을 서버단에서 실시간으로 분석하는 FDS와 제로트러스트 아키텍처를 통해 안전을 담보하며, 사고 발생 시 금융사가 100% 책임을 지는 구조다.
문제는 부족한 시간과 소통의 부재다. 작년 말 금융감독원이 진행한 사전 조사에서 금융권은 모바일 환경을 기준으로 “대체 가능하다”고 보고했다. 하지만 정부 당국이 4월까지 대체 계획안을 제출하고 연말까지 전면 전환하라는 지침을 통보하자 상황은 180도 달라졌다. 수십 년간 구축해 온 레거시 시스템을 단기간에 갈아엎어야 하는 업계 일각에서는 실무 부처인 금융당국조차 속도 조절이 힘들 만큼 상부의 드라이브가 거세다는 뒷말이 무성하다.
최근 소집된 금융권 보안 담당자 회의에서는 공동인증서를 제외하면 기존 키보드보안이나 PC 방화벽, 백신을 대체할 PC 환경 수단이 없다는 주장이 제기되며 혼란이 일고 있다. 특히, 모바일 중심인 핀테크나 카드사와 달리, PC 거래 비중이 압도적인 은행과 증권사가 직격탄을 맞았다. 수백만 명의 고객이 매일 이용하는 기존 시스템을 단기간에 안전하게 대체할 뾰족한 수가 없기 때문이다.
현장의 분위기는 폭풍 전야다. 익명을 요구한 금융권 보안 담당자 A씨는 “정부의 취지나 방향성에는 십분 공감하지만, 당장 고액 자산가나 중장년층이 주로 사용하는 PC 인터넷뱅킹과 증권사 거래 시스템(HTS) 환경에서는 대안 솔루션이 아예 없는 상황”이라며 “대체 가능하다고 보고했던 건 모바일 뱅킹 이야기였지, PC 환경까지 당장 올해 안에 다 걷어내라는 지시가 내려올 줄은 꿈에도 몰랐다”고 말했다.
더 큰 뇌관은 사고 발생 시 배상 책임에 있다. 그동안 설치형 보안 프로그램은 해킹 등 금융사고에서 금융권이 “의무 보안 조치를 다했다”고 주장할 수 있는 일종의 법적 방어막 역할을 해왔다.
또 다른 보안 담당자 B씨는 “가장 두려운 것은 책임 소재로, 글로벌 스탠더드처럼 사고에서 금융사가 수십, 수백억원의 책임을 떠안을 수 있다는 가능성 자체가 엄청난 공포”라며 “이에 대한 법적·제도적 완충장치나 가이드라인도 없이 시스템만 걷어내라고 하면 업계는 방법이 없다”라며 현장의 딜레마를 토로했다.
작년 연이은 해킹 사태 이후 종합대책을 마련한 정부의 의지와, 현실적인 한계를 호소하며 시간이 필요한 금융권 사이의 줄다리기는 당분간 불가피할 전망이다. 이번 사안이 단순한 금융 규제 개선을 넘어 ‘국가 사이버 안보 확립’이라는 거시적 명분과 맞닿아 있는 만큼, 현실적인 책임 소재를 두고 고심하는 업계와의 물밑 진통은 한층 더 깊어질 것으로 보인다.
[보안뉴스 특별 취재팀(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
