<디지털데일리>는 총 7회에 걸쳐 주요 금융 IT 현안을 중심으로, 올해 전개됐던 상황을 되짚어보고 아울러 2012년의 주요 IT혁신과제를 전망해 볼 계획이다.

다뤄볼 주제들은 ◆강화된 전자금융 감독규정과 IT조직의 변화 ◆금융권의 빅 데이터 화두 ◆ ‘스마트 브랜치’(Smart Branch) 전략의 구현 ◆ 금융 IT인프라의 보안강화 전략 ◆투자은행(IB) 구현과 IT고도화 전략 ◆ ‘모바일 플랫폼’을 통한 모바일 서비스 개발 혁신 (MEAP 도입과 적용, 활성화 등) ◆ 포스트(Post) 차세대 시스템 전략 ◆ 금융권 가상화 및 클라우드 컴퓨팅 확산 전략 등이다.

이와관련 <디지털데일리>는 오는 12월 22일(목) 서울 프라자호텔 별관(그랜드볼룸)에서 ‘2012, 금융IT 혁신’ 컨퍼런스를 개최하고, 2012년 금융IT 부문 감독방향(금융감독원)을 비롯해 금융IT 혁신과 관련한 다양한 주제를 제시할 방침이다. <편집자>

IT업체의 한 관계자는 이 같은 말로 금융IT 시장에서의 보안 문제가 얼마나 심각하게 다가오고 있는지 설명한다.

올 상반기 현대캐피탈의 고객정보 유출로 시작된 금융권 보안사고는 농협의 전산마비 사고로 방점을 찍었다.

유례없는 금융전산사고로 기억될 농협의 전산마비 사태는 결국 북한의 소행으로 밝혀졌지만 내외부 통제 실패와 후속 대처 미흡 등으로 금융권에 크나큰 숙제를 남겼다.

특히 올 한해에만 3.4 디도스(DDoS) 공격을 시작으로 현대캐피탈 홈페이지시스템 고객정보 유출과 농협의 주 전산시스템 장애, 하나SK카드 고객정보 유출, 삼성카드 고객정보 유출 등 보안사고가 연이어 발생하며 보안에 대한 경각심은 그 어느 때보다 높아졌다.

◆고강도 금융보안 강화 주문 = 잇따른 보안 사고로 인해 그동안 보안 분야에 국내 기업 어느곳보다도 앞선 투자를 진행해 왔던 금융권의 자존심은 상처를 입을 수밖에 없었다. 하지만 이를 기회로 금융권의 사각지대에 놓여있던 저축은행과 캐피탈사, 그리고 대부업체에 이르기까지 보안성 강화라는 새로운 처방을 받게 됐다.

금융권의 보안 투자는 돈이 오고가는 금융거래의 중요성을 감안해 그동안 지속적으로 투자돼왔다. 특히 인터넷 뱅킹에 대한 보안성은 일부에선 사용하기 불편할 정도로 과도하다는 지적이 나올 정도로 은행권의 중점 투자 대상이었다.

하지만 최근 연이은 보안사고를 분석한 결과 금융권의 내부 통제 등 거래 외적인 IT시스템에 대한 관리감독과 투자는 인터넷 뱅킹에 대한 투자만큼 이뤄지지 못했다는 것이 드러났다.

이에 따라 금융감독원 등 금융감독당국은 고강도의 금융권 보안강화 대책을 마련, 금융권에 주문한 상태다. 따라서 2012년은 이러한 금융감독당국의 규제에 대응하기 위한 금융권의 IT인프라 투자가 봇물을 이룰 것으로 보인다.

금융감독원은 연이은 금융권 보안사고에 대처하기 위해 금융회사 IT 보안강화를 위한 전자금융거래법 개정 및 감독규정 전면 개정을 추진했다.

이에 따르면 정보보호최고책임자 임명 의무화로 IT 보안에 대한 CEO 역할 및 책임을 부여하고  IT 보안인력 및 IT 보안 투자확대를 위해 IT 인력, 보안인력 및 예산비율을 일정수준이상 확보토록 권고했다.

또 해킹 피해 최소화를 위한 시스템 개선을 유도해 노트북, USB 등에 대한 반, 출입 강화와 정기적인 취약점 점검 실시 의무화도 진행했다. 
 
시스템 분야에선 고객정보는 안전한 내부망 구간에만 데이터베이스(DB)를 설치·운영토록 하고 고객비밀번호 암호화 등 고객정보 관리강화를 주문했다. 또 인터넷 망과 업무 망의 분리를 단계적으로 유도하고 무선망 사용에 대한 보안 조치 및 점검 등을 강화했다.

IT보안전담조직에서 아웃소싱 업체 보안관리를 철저히 수행토록 하고, 상주인원 신원조회 등 인력관리 강화방안 수립 유도도 꾀했다. 

◆망분리와 VDI 도입 속도낼 듯 = 이처럼 금융당국은 이전과는 다른 고강도의 IT보안 강화 노력을 금융권을 대상으로 주문했다. 이 중 일부는 금융회사 내부의 프로세스가 변화해야 하는 것이지만 대부분은 IT부분의 새로운 투자를 요구하고 있다.

우선 주목되는 것은 금융권 내부의 인터넷 망분리 사업이 본격화될 것이란 관측이다. 보안 강화 움직임으로 가상데스크탑(VDI)의 빠른 확산도 기대된다. 그동안 콜센터 등에 일부 시범적으로 도입됐던 VDI는 높은 도입비용으로 인해 전사로 확산되는데 시간이 걸릴 것으로 관측됐다.

하지만 보안 측면에서 VDI가 가지는 장점이 투자비용을 따지기에 앞서 우선적으로 거론될 것으로 보인다.

시중은행과 달리 매년 보안 취약점 검사의 의무대상이 아니었던 저축은행, 증권사들에 대한 취약점 검사 의무화가 적용되면서 관련 컨설팅 사업도 봇물을 이룰 것으로 보인다.

이미 시중은행들은 자사 보안에 관련한 장기 로드맵 수립차원의 컨설팅 작업에 들어갔다.

최근 농협이 1000억원 규모의 보안 시스템 강화에 나선데 이어 우리은행이 그룹차원의 IT 보안 체계 선진화를 위한 컨설팅 사업을 진행하고 있다. 또 기업은행도 보안 로드맵 마련을 위해 보안 컨설팅 사업을 진행하고 있으며 시중은행들의 보안 컨설팅 사업은 계속 속도를 낼 것으로 보인다.

증권사들을 중심으로 보안 컨설팅 사업이 이어질 것으로 전망된다. 이미 증권사들의 원장을 관리해주고 있는 코스콤이 고객사들을 대상으로 취약점 점검 분석을 진행키로 했으며 기타 다른 보안관련 업체들이 컨설팅 및 취약점 분석 시장을 노리고 사업을 추진하고 있다. 

최근 발생한 전자금융사고는 대부분 해킹에 의한 금융 고객정보 유출사고로 전자금융에 대한 의존도가 심화됨에 따라 IT리스크 파급력은 점차 증대되고 있다. 이에 따라 금융권에선 자의든 타의든 이러한 리스크를 줄이기 위한 다양한 방법찾기와 실행을 추진할 것으로 전망된다.

<박기록 기자>rock@ddaily.co.kr
<이상일 기자>2401@ddaily.co.kr