특집

공포 엄습한 금융권…‘차세대 보안전략’이 필요한 것일까

박기록 기자

▶지난 3.20 전산대란 당시, 신한은행의 안내문

 

 

[IT전문 미디어블로그 = 딜라이트닷넷]


“우리가 강하다고 절대 알리지 말라”

 

지난 3.20 금융전산 대란을 가슴 졸이며 지켜본 한 시중은행 IT부서의 A부장. 그가 받고 있을 극심한 스트레스는 고려하지 않고 실례되게 웃음이 먼저 터졌다.

 

마치‘나의 죽음을 적에게 알리지 말라’는 이순신 장군의 말처럼 들렸기 때문이다. 물론 A부장의 말은 그런 비장함과는 한참 거리가 있다.  

 

3.20 전산대란이 발생한 지 일주일이 지났다. 지금쯤 한 숨 돌렸을 거라 생각하고, 한 시중 은행의 IT 부서장에게 솔직한 소감을 들어보고 싶었다. 그런데 생각했던 것 보다 많이 약한 모습(?)에 좀 놀랬다.   

 

A부장의 자랑처럼 이 은행은 실제로 지금까지 한번도 해킹 공격을 당하지 않았다. 물론 몇 년전 디도스 공격을 당한적은 있지만 상황의 심각성은 지금과 비교할 바 못된다.

 

최근 3.20 금융대란에선 농협과 신한은행이 직접적인 타격을 입었다. A부장은 신한은행의 사례를 주목했다.“신한은행이 그렇게 만만한 은행이 아닌데....” 


보안프로그램을 해킹해 시스템의 교란을 일으키는 것이 아무리 생각해도 최고의 보안수준을 갖췄다고 자부하는 은행 전산 담당자의 입장에서는‘공포’를 갖기에 충분하다. 만약 이번에도 농협에서만 문제가 발생했다면 2년전 사건의 잔영때문에 그리 심각하게 상황을 받아들이지는 못했을 것이란 설명이다. 신한은행도 당했으니 이제 누구라도 당할 수 있다는 가정이 성립된다.

 

A부장이 ‘우리는 한번도 해킹 공격을 당하지 않았다’고 기자에게 자랑하기가 겁이 나는 이유는 딱 한가지다.  괜히 해커를 자극해 표적이 될 수 있기 때문이다. 어쩔 수 없이 이 기사에서 은행 실명을 굳이 쓰지않는 이유이기도 하다.

 

“과연 우리가 보안에 뛰어나기 때문에 해커가 뚫지 못하고 비켜가 것인지, 아니면 운좋게 해커의 타깃에서 잠시 벗어나 있을 뿐인지 솔직히 판단히 안선다.”A부장의 솔직한 고백이다.


사고 이후, 보안 IT업계의 전문가들이 사고의 원인과 대책을 무수히 쏟아내고 있지만 사실 A부장의 입장에서는 크게 와닿지는 않는다. 신뢰하지 않는다는 표현이 더 정확할 듯하다. IT업체들은 언제나 그랬듯이 자기내 제품만쓰면‘보안 위협으로부터 안전할 것’이라는 말만 되풀이해왔다.

 

◆이젠 은행도“솔직히 두렵다”= 이쯤되면 이제 금융권에서 보안문제가 어느새‘공포’ 수준으로 격상됐음을 알 수 있다.

 

최고 수준의 보안을 자부한다는 은행에서 공포를 느끼는 수준이면 문제는 좀 심각하게 봐야한다. 바람직한 일인지는 모르겠으나 지금 금융 IT담당자들에게 보안은 모든 IT과제에 우선한다.


사고의 충격파는 결과적으로 2년전 농협 대란보다는 적었지만 오히려 금융권 전체가 받은 심리적 충격은 이번이 훨씬 강도가 크다.


지난 2011년 4월, 농협 전산대란으로 금융거래 데이터가 날아가버리고 3일간이나 일부 업무가 마비됐다. 충격적 상황이었다.

 

하지만 놀랍게도 은행권에서는 당시 농협 사태를 ‘예외적 돌발 상황’ 정도로 치부하는 분위기가 상대적으로 강했다.

 

당시 검찰이 ‘북한 소행’이라고 수사결과를 발표했지만 MB정권의 정치적 목적때문이라는 해석도 없지 않았다. 은행권 일각에서는 ‘농협 내부적으로 뭔가 말못할 사정이 있지 않았겠느냐’는 의심을 거두지 않았다.

 

또 그해 10월, 강력한 내용의 전자금융감독규정이 나왔을 때도 “누구 때문에 이 무슨 고생이냐”는 불평이 쏟아졌다.


금융 당국이 자체 IT인력을 많이 확보하고, 보안 예산을 전체 IT예산의 7%이상 확보하라는 권고는 잔소리로 들렸다. 현장에선 금감원 IT실태 검사때문에 스트레스 받는다는 소리가 새어 나왔다.

 

공포는 그 속성상 빠른 속도로 전염된다. 불안을 잊기위한 금융권의 보안 투자는 이전보다 훨씬 더 과감해 질 가능성이 높다. 대형 금융회사가 적극적으로 움직일수록 금융권 전체의 역동성은 커질 것으로 보인다.

 

그동안 돈이 들어간다고 주저했던 금융권의 망분리나 데스트톱 가상화, 업무 프로세스의 변화때문에 주저했던 문서중앙화 등 많은 사업들이 의외로 탄력을 받을 수가 있다고 보는 이유다.

 

◆보안 투자전망? 대형 금융회사들 움직임에 주목 = 결과적으로 올해 금융권의 보안 IT부문은 과거에는 볼 수 없었던 강력한 역동성이 생성될 것으로 보인다.

 

마치 강력한 허리케인이 만들어지기위해 열이 급속하게 응축되는 과정처럼 느껴진다. 물론 촉매제는‘공포’다.


실제로도 금융권의 분위기는 최근 미묘하게 바뀌고 있다. A부장은 “좀 더 두고봐야겠지만 올해 IT투자에서 기존 항목을 줄이고 대신 보안 투자 항목이 더 강화될 수 밖에 없을 것”이라고 예상했다. 

 

다만 과거에는 전자금융감독규정과 같은 금융 당국의 강력한 창구지도에 의한 것이었다면 이제는 대형 금융회사들을 중심으로 한 자발적 투자, 차별화된 보안투자 경쟁으로 흐를 가능성이 높아 보인다.

 

시장에 미치는 폭발력은 당연히 후자가 훨씬 크다. 


특히 은행, 증권, 보험 등 각 업종을 대표하는 대형 금융회사들이 수정된 보안전략을 어떻게 가져가느냐가 매우 중요한 관전포인트가 될 것으로 보인다. 누구나 그렇듯 공포가 지배할 때는 안전한 보호색 뒤에 숨고 싶어한다.

 

대형사들의 움직임을 따라 중소형사들도 나름대로 대응책 마련에 나설 것으로 전망되는데, 이는 정해진 수순이다.     

 

다만 A부장은 “금융 당국이 기존보다 더 강한 보안조치를 내놓을 것”이라고 예상하면서도 “과거와 같은 방식은 아닐 것”이라고 전망했다. '(기존 전자금융감독규정이) 실효성이 없기 때문‘이란 게 그가 꼽은 이유다.

 

A부장은 “물론 금융회사들이 전자금융감독규정을 제대로 따랐다면 지금보다는 덜 불안했을 것”이라고 평가했다.  


◆"금융 당국 창구지도로는 한계"= 2년전 농협 사태 이후, 국민들은 국내 금융권의 보안 수준이 엄청나게 업그레이드된 줄 알았다.


하지만 내용을 들여다보면 노후화된 보안 장비의 교체 수준에서 실질적으로 벗어나지 못했다.


이는 전자금융감독 규정과 같은 창구지도가 가지는 어쩔 수 없는 한계다. 금융회사들은 정부의 정책 가이드라인을 충실하게 따른다면 자연스럽게 보안수준이 높아질 것이라고 자위한다.

 

그러나 한편으론‘정부 규정을 잘 따랐으니 만약 사고가 나더라도 나는 책임질 일이 없다’는 명분쌓기에 스스로 경도되지 않았는지 되돌아보고 반성할 일이다.

 

금융 당국은 IT실태 조사를 거쳐 조만간 강력한 금융보안 대책을 또 내놓을 것이다.

 

그러나 이번 사고로 인해, 정책 가이드라인만 믿고 의지하기에는 그 허술함이 분명하게 드러났다. 또한 그것만으로는 금융권이 느끼는 공포를 덮기도 쉽지 않다.

 

IT인프라의 발전으로 그동안 금융회사들은 비약적인 생산성 향상 효과를 거뒀다. 인력도 많이 줄일 수 있었다. 그 결정판이 바로 수백억, 수천억원을 투입해 구축했던 차세대전산시스템이다.


하지만 최근 일련의 전산대란을 보면서 그같은 과실을 계속 누리기위해서는 무언가 그에 합당한 댓가를 지불해야한다는 생각을 갖게된다. 

 

이제는 금융권이 IT인프라의 안정성 확보를 위해 수백억, 수천억원을 기꺼이 지불할 수 있는 '차세대 보안전략' 필요한 시점으로 보인다. 어쩌면 그것이 진정한 금융 IT인프라의 완성일지 모른다. 결코 쉽지않은 일이다.

  

[박기록 기자의 블로그= IT와 人間]



 


 

박기록 기자
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널