[2012 금융IT혁신 ⑪] 금융보안

[디지털데일리 박기록기자, 이상일기자] 지난 2001년, ‘911테러’ 이후 한 때 국내 금융권에서는 BCP(비즈니스 연속성계획)이란 큰 차원의 접근이 시도됐었다.

아쉽게도 보안시스템 체계, 소프트웨어적인 측면에서의 BCP체계 확립에는 미치지 못했지만 그러나 이를 계기로 국내 금융권은 수년에 걸쳐 천재지변과 비상시에 대비한 물리적인 DR(재해복구)체계를 갖추게 됐다. 좀 더 넓게 보면, 지난해 발생한 농협의 전산장애 사태는 우리 금융권의 IT인프라 안정성을 한 차원이상 끌어올리는 계기로 작용할 것이란 기대를 갖게 한다.   

<디지털데일리>가 국내 40여개 주요 금융회사의 올해 IT투자 계획을 조사한 결과, 은행, 카드, 증권, 보험 등 모든 금융업종에 가릴 것 없이 대부분의 주요 금융회사들은 올해 강도 높은 보안 투자에 나설 계획인 것으로 분석됐다.

실제로도 대부분의 금융회사들은 보안 IT투자 항목을 올해 IT투자 예산에 비교적 비중있게 반영시킨 것으로 나타났으며, 보안부문 예산의 증액은 지난해와 비교해 최소 20%~30%이상, 많게는 100%이상 순증한 경우가 많았다.

더구나 대부분의 금융회사들이 올해는 경기침체를 감안해 다른 IT예산을 줄인 상황이기때문에 보안투자의 활성화는 더 도드라져 보인다.  

여기에 금융당국의 고강도 금융권 보안 강화 주문까지 더해져 올해 보안은 금융권 IT투자의 방향성을 결정할 정도로 중요한 변수로 작용할 것으로 예상된다. 이와함께 금융 당국은 금융회사들이 정보보호최고책임자(CISO)를 지정해야 한다고 못 박았고, 금융회사의 보안인력 및 IT예산도 일정수준으로 유지하는 것을 사실상 의무화한 상태다.

◆올해 주목받는 금융권의 보안 IT투자 항목 = 전자금융감독규정 개정안에 따르면, 금융회사는 전체 IT예산의 7%를 보안예산의 투자로 확보해야 한다 . 특히 네트워크급제어, 보안관제 등 IT인프라의 안전성 확보에 대한 자연발생적 투자 수요 증가할 것으로 예상된다. 또한 가상화 등 기존 IT혁신 프로젝트, 보안측면에서 재조명되고 있다.

보안컨설팅의 활성화가 이미 금융권 전반에 걸쳐 광범위하게 진행되기 시작했다. 빠르면 올해 상반기중으로 컨설팅을 끝내고 하반기에 중장기 보안투자를 시작하는 금융회사도 적지않다.

이와함께 인터넷망과 업무망 미분리 비율 여전히 높은 상황인데 SBC(서버기반컴퓨팅)활용한 망분리 논의도 그동안의 지지부진했던 상황에서 벗어나 활발하게 진행될 것으로 전망된다. 금융위원회에 따르면 2011년6월말 현재 은행의 76%, 증권 81%, 카드 33%, 기타 여전사업체  89% 등이 망분리가 미흡한 것으로 분석되고 있다.

역시 금융권에서 역점을 두는 보안투자항목은 네트워크접근제어를 비롯한 내부통제시스템의 강화이다. 이는 금융권이 농협 전산사고의 직접적 원인을 네트워크접근제어및 내부통제시스템의 소홀로 인식하고 있기 때문으로 보고 있다. 실제로도 현대캐피탈, 농협사고에 이어 지난해 삼성카드, 하나SK카드 고객정보 유출사고 사례 등 위험이 현실화됐다고 금융권은 보고 있다.

보안관제 부문은 사이버테러, 전산 장애에 신속한 대응체계 마련을 위한 것으로 보안관제를 위한 아웃소싱 전문업체들의 움직임이 활발하다. 금융권 홈페이지 및 서버 취약점 점검 정례화, 금융권 기반시설에 대한 취약점 진단이 의무화되면서 보안관제에 대한 수요도 확대되고 있는 것으로 분석된다.

모바일 보안은 금융회사들이 가장 신경을 쓰고 있는 부분으로, 금융회사의 IT실무자들은 스마트기기(스마트폰, 태블릿 PC 등)채널 확대에 따른 보안위협의 증가가 불가피 할 것으로 예상하고 있다.이미 모바일 단말관리(MDM)시스템에 대한 금융권의 관심이 크게 고조된 상황이다.