법제도/정책

내년에도 ‘인터넷보안 3종 세트’는 사라지지 않는다

이민형

[디지털데일리 이민형기자] 내년에도 개인방화벽, 키보드보안, 백신 등 ‘인터넷보안 3종 세트 프로그램’은 사라지지 않을 것으로 보인다.

14일 관련업계에 따르면 금융회사들은 당국의 전자금융감독규정 개안안 발표에도 불구하고 당분간 현재의 전자금융서비스 환경을 고수할 계획이다.

즉, 인터넷익스플로러(IE)에서는 액티브X를, 비(非)IE에서는 NPAPI(Netscape Plugin Application Programming Interface)를 사용해 보안프로그램 설치를 강제하게 된다. 개정안 발표 전과 달라지는게 없는 셈이다.

신한은행 관계자는 “전자금융감독규정 개정안이 내년 1월 발표돼 시행되더라도 현재 환경을 바꾸는 것은 쉽지 않다”며 “당장은 기존의 방식을 사용하되, 보다 강력하고 편리한 환경 구축 방안을 태스크포스팀(TFT)을 구성해 논의 중”이라고 말했다.

또 국민은행측은 “금융당국의 규정해소에 적극 동의하나 현재 최고경영자(CEO, 행장)이 부재인 상황이며, 당장 개선을 하기에는 물리적으로도 불가능하다”며 “내년 초까지는 현재 시스템을 그대로 유지할 수 밖에 없는 상황”이라고 전했다. 아울러 우리은행과 하나은행 역시 비슷한 의견을 내놓으며 ‘현 상황 유지’를 전달해왔다.

이는 전자금융감독규정 개정으로 인해 기술자율성은 높아졌으나 보안사고에 대한 책임이 강화됐기 때문이다. 기존에는 금융당국이 보안수준을 일일이 정해줬으나 이제는 금융회사가 보안수준과 정책을 직접 수립해야 한다.

이 때문에 금융회사들은 상대적으로 보수적인 입장을 취할 수 밖에 없다. 새로운 시스템 도입으로 인한 역효과를 감당할 수 없기 때문이다. 또한 현재 사용되고 있는 보안프로그램을 대체할 수 있는 방안도 구상하지 못한 것으로 알려졌다.

보안업계에서도 ‘보안 3종 세트’는 사라지지 않을 것이라 예측했다. 환경 개편에 따른 리스크가 너무 크다는 지적이다. 아울러 보안솔루션 개발과 공급에 대한 부담도 커질 것으로 내다봤다.

업계 관계자는 “기존 보안 3종 세트를 걷어내거나, 새로운 솔루션을 도입한 뒤 발생하는 사고는 누가 책임을 질 것인가를 먼저 생각해봐야 한다”며 “개정으로 인해 강제화 규정은 사라지지만 지금까지의 관성적으로 유지해오던 최소한의 도구를 버린다는 것은 쉽지 않을 것”이라고 말했다.

또 다른 관계자는 “금융회사들의 기술자율성이 높아짐에 따라 보안업체들은 더 힘들어질 것이다. 금융회사들이 해킹사고 발생 시 피해를 보안업체에게 떠넘길 수 있기 때문”이라고 전했다.

전자금융감독규정 개정으로 인한 금융회사들의 변화는 현재 환경에서 ‘보안 사고’가 발생하는 시점이 될 것이라는 주장도 나왔다.

김승주 고려대 정보보호대학원 교수는 “금융회사와 국민들은 현재 환경에 이미 익숙해져 있다. 관성에 젖어있다는 것”이라며 “보안사고가 발생할 때 이 관성은 깨질 것이다. 금융회사들은 그 전까지는 전자금융서비스 환경을 개선하지 않을 것”이라고 지적했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널