서비스

마이데이터 시대, "침입 막는 보안에서 비즈니스 관점 보안 필요해져"

디지털데일리 발행일 2020-05-08 09:22:32
이상일
정선진 보맵 최고정보보안책임자(CISO)
정선진 보맵 최고정보보안책임자(CISO)

[디지털데일리 이상일기자] 오픈뱅킹, 마이데이터, 마이페이먼트 등 다양한 혁신 금융서비스가 올 하반기부터 본격화된다. 사실상 금융시장의 개방을 통해 경직된 금융 산업을 활성화하고 다양한 시장 플레이어를 등장시켜 금융소비자의 편익과 이익을 달성하겠다는 것이 금융당국의 목표다.

하지만 금융시장은 무엇보다 안정성을 중요시 하는 분야다. 실생활과 밀접한데다 보안에 대한 위협은 끊임없이 금융시장을 괴롭혀 온 화두 중 하나다. 그동안은 금융업 라이선스에 기반한 금융당국의 정책적 개입으로 금융보안을 어느 정도 책임져 왔지만 오픈뱅킹 등 다양한 서비스가 개방되는 상황에서 보안에 대한 위협을 평가하고 대비하기는 점점 더 어려워지고 있는 상황이다.

특히 시장에 새로 참여하는 핀테크 등 기업들의 경우 초기의 보안 정책 방향이 새로운 금융서비스 시스템의 성공을 가늠할 수 밖에 없다. 오픈뱅킹, 마이데이터 시장에서 이들에게 사고가 일어나면 전체 플랫폼에 영향을 줄 수 밖에 없기 때문이다. 자연히 신규 플레이어의 보안 책임감이 중요한 화두가 되는 분위기다.

이에 대해 정선진 보맵 최고정보보안책임자(CISO)는 “금융서비스의 영역이 무너지는 상황에서 각자 리스크 평가 기반의 컴플라이언스 정책을 조직 나름의 규칙을 세워 운영해야 한다. 리스크 평가에는 정답은 없지만 평가 기준은 명확히 있어야 한다”며 “특히 이제 보안은 막기만 하는 것이 아니라 기업 비즈니스 목표를 고려해 다시 정립돼야 하는 시대가 됐다”고 밝혔다.

기존의 금융 산업에서 규제준수 기준은 명백했다, 금융감독당국이 관리하고 기준을 세워 금융사들은 따르면 되는 구조였다. 하지만 핀테크로 촉발된 금융혁신은 각 산업간 영역이 불명확해지는 결과를 낳았다. 이는 금융사를 중심으로 적용되던 금융보안 등의 규제가 한계를 노출할 수 밖에 없음을 의미한다.

결국 보안 위협에 대해서 각 기업이 요건을 자체적으로 정의해 운영해야 하는 상황이다. 정 CISO는 “마이데이터 시대에는 대외계 시스템 등이 복잡해질 수 밖에 없다. 핀테크 업체들은 각자의 서비스 목표 아래 신용정보법 안에서 보안정책을 운영할지 개인정보보호법에 기반해 운영할 것인지 등 선택이 필요할 것”이라고 관측했다.

8년간 한국인터넷진흥원에서 침해사고 대응, ISMS 인증심사 팀장 등을 역임한 정선진 CISO는 수많은 금융사 대상 인증 심사를 해 오면서 금융시장의 변화를 몸으로 체득했다. 결국 “핀테크 시장에서 보안에 대한 이슈는 점차 커질 수 밖에 없다”고 보고 가상자산거래소 ‘코인원’을 거쳐 지난 3월 보맵에 CISO로 합류했다.

정 CISO는 “보맵에 합류하며 보안에 대해 부족한 부분을 어떻게 채울지 그리고 비용을 어떻게 투입할지 대해 정보를 내부 공유하는 한편 의사결정권을 달라고 했다. 경영진에게 보안예산으로 1년 운영예산의 1/7 수준을 보장받았다. 기존에 있던 시스템에 추가적 개선 및 보완하는 작업이 진행 될 것”이라고 밝혔다.

보안 부분에 과감한 투자를 하는 이유는 마이데이터 등 새로운 금융서비스가 개시되면 그만큼 보안에 대한 중요성이 커질 수 밖에 없기 때문이다. 보맵은 인슈어테크 분야 대표 기업 중 하나지만 전통적으로 보험업계는 은행이나 증권, 카드와 달리 정보보호에 대한 투자에 상대적으로 덜 민감한 편이었다.

정 CISO는 “보험사업 특성상 보수성이 짙고 이용자들의 진입장벽이 높은 산업으로 보안에 대한 중요성이 다른 금융서비스에 비해 약했던 것이 사실”이라며 “하지만 마이데이터 사업으로 인해 보험업계에서도 트랜잭션이 실시간으로 발생될 것으로 보여 보안도 다른 금융서비스와 동일한 수준으로 올라가야 한다”고 밝혔다.

그는 “마이데이터는 보험 뿐만 아니라 금융서비스의 큰 획을 그을만한 사업이다, 현재는 은행, 카드 등 각 서비스 분과로 운영되지만 마이데이터 본질은 서비스 영역간의 경계선이 무너지는 것이다. 통섭과 융합이 일어날 것이고 의료, 유통, 제조 등에서 융합이 일어날 것이다. 따라서 보안이 중요할 수 밖에 없다”고 설명했다.

때문에 보맵에 합류한 그는 우선 보안에 대한 내재화, 즉 자체 역량 강화를 내세우고 있다. 예를 들어 보안 컨설팅 업체들이 해주는 보안성 평가 등에 큰 신뢰를 보내선 안 된다는 생각이다.

그는 “보맵 뿐만 아니라 핀테크 업계의 CISO들이 가지는 큰 고민은 제3자 입장에서 우리의 보안이 어느 정도 수준인지 점수화하기 어렵다는 점이다. 각각 비즈니스 환경과 서비스 목표가 다른데 제3자가 객관적으로 핀테크 업체의 보안수준이 어떤지 증명하기 힘들다고 생각한다. 보안 컨설팅 업체들이 우리의 비즈니스를 완벽히 이해하지 못하기 때문에 그들의 내세우는 결과는 참고용 이상일 수 없다. 보안 정책과 실효성은 내부에서 더 잘 알 수 밖에 없다”고 강조했다.

보맵은 올해 정보보호관리체계의 안정적 운영을 목표로 하고 있다. 시스템적으로는 통합보안, 이상징후 탐지 등에 초점을 맞출 계획이다. 정 CISO는 “다양한 접근통제시스템이 구축돼야 하는데 최종적으로는 이상징후를 탐지할 수 있는 ‘통합보안로그시스템’ 도입을 생각하고 있다, 사고에 100% 안전한 보안은 없고 다만 사전에 위협을 파악하고 정책을 어마나 견고하게 가져갈 수 있느냐를 중요하게 생각하고 있다”고 밝혔다.

<이상일 기자>2401@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스