[2015 금융IT전략⑩] 변화된 금융보안 정책…어떻게 대응할까
올해 국내 금융 IT시장의 역동성은 기대하기 어려울 전망이다. 무엇보다 금융 IT투자를 힘차게 견인할 새로운 테마가 보이지않고, 구조적으로는 전체 IT비용의 대부분을 차지하는 금융회사들의 고정비때문에 신규 IT사업에 적극적으로 나설 여유가 더욱 없어졌기 때문이다.
다만 최근 핫이슈로 떠오른는 ‘핀테크’ 등 디지털 금융시장이 본격 개화할 조짐을 보이고 있어 금융IT 시장에 긍정적인 영향을 미칠지가 관심사다. 핀테크에 대한 투자 전략이 아직 금융권에선 구체화되지는 않고 있으나 금융권 내부적으로 ‘핀테크에 대한 투자를 게을리하는 것은 향후 경쟁력 확보에 걸림돌로 작용할 수 있다’는 위기감이 작용하고 있다.
한편으론 차세대, 모바일 업무 강화 등 기존 IT 업무시스템에 대한 고도화사업도 꾸준히 추진될 전망이다. <디지털데일리>는 10회에 걸쳐 올해 금융권 IT투자 전략 및 신기술 동향을 살펴볼 계획이다. <편집자>
[디지털데일리 이상일기자] 금융권 보안분야에서 올해는 변화의 원년으로 불릴 만하다. 당장 오는 16일부터 전자금융거래법과 시행령 적용으로 총자산 규모 10조원 이상, 종업원 수 1000명 이상인 대형 금융사는 최고정보기술책임자(CIO)와 최고정보보호책임자(CISO)를 독립적으로 둬야 한다.
물론 한시적으로 예외규정이 적용되기는 하겠지만 그동안 논란이 적지않았던 CIO와 CISO의 겸임시대도 막을 내리게 됐다. 앞으로 금융회사의 IT본부내에서 CIO와 CISO의 역할은 각각 분명히 구분되지만 조직의 논리에 민감한 대형 IT부서 조직원들의 정서적 안정화까지는 다소 시간이 걸릴 전망이다.
또한 금융사가 전자금융거래정보를 제공, 누설하거나 업무목적 외에 사용시 50억원 이하 과징금이 부과되며 전자금융거래 안전성 확보의무에 소홀할 경우 5000만원 이하 과태료를 물어야 한다.
◆금융사 보안체질 개선 임박=이 같은 제도변화는 금융사의 보안전략이 근본적으로 변화돼야 함을 의미한다. 그동안 금융사들은 보안전략을 구사하는데 있어 금융감독 당국의 보안 가이드라인을 지키기 위한 최소한의 사업을 진행하는데 초점을 맞춰왔다.
보안의 중요성과 가치에 대해서는 금융사들도 표면적으로 동의하고 있지만 실제 투자가 이뤄져야 하는 부분에서는 대외상황 등 여러 가지 경영논리가 엇갈리면서 후순위로 밀리기 일쑤였다. 하지만 금융감독 당국이 금융사 보안에 대해 자율성을 강조하고 대신 징벌을 강화하는 방향으로 감독방향을 선회하면서 금융사들은 그야말로 보안에 대한 모든 전략을 스스로 해결해야 하는 상황으로 바뀌게 됐다.
한편 올해 금융사 보안의 가장 큰 변화는 인터넷 뱅킹 등 전자금융거래에 있어 보안수단 확보를 위한 각 금융사의 노력이 어떻게 진행되느냐에 따라 달라질 것으로 보인다.
금융감독 당국의 이 같은 감독방식의 변화를 이끌어 낸 것은 박근혜 대통령의 ‘천송이 코트’ 발언이 나온 이후 전자금융 결제에 있어 편의성을 확보하기 위한 전방위적으로 노력이 시도되면서 부터다.
‘공인인증서’ 등 특정 인증기술을 강조하던 전자금융거래가 이제는 편의성을 강조하되 금융보안은 금융사가 알아서 해결해야 하는 상황이 도래하면서 금융사들은 적극적인 보안정책을 수립하고 사업을 추진해야 하는 부담을 안게 됐다.
아직까지 공인인증서 외에 인증수단에 대해 금융사들은 구체적인 대안을 제시하고 있진 않다. 물론 아직 공인인증서만한 안전수단을 현실적으로 확보하지도 못했을 뿐만 아니라 다른 대체 인증수단에 대한 최소한의 검증기간도 필요하다.
물론 기존 공인인증서를 대체하는 신뢰할만한 제 3의 인증기술이 시장에서 받아들여지기 시작하면 이것이 금융권 전체로 채택이 확산되는 것은 시간문제다.
하지만 현재로선 선뜻 공인인증서를 배제하기는 현실적으로 힘들어 보인다. 공인인증서를 사용하지 않을 경우에 나타날 수 있는 금융보안 사고의 우려가 여전히 크다고 보기 때문이다.
◆신기술에 대한 자체 검증 본격화= 한편 올해부터 본인인증 방법 등 천편일률적이던 금융사 보안기술 적용이 다양화해질 것으로 보이며 금융사는 물론 보안업체들의 신기술 테스트도 본격화될 것으로 전망된다.
우선 생체인증에 대한 금융사들의 검증이 본격화됐다. 신한은행이 생체인증시스템 파일럿 사업에 나선 한편 지난해 생체인증을 위한 테스트베드 사업을 완료한 금융결제원이 현재 관련 협단체와 금융사들을 대상으로 설명회를 진행하고 있는 것으로 알려졌다.
여기에 CC인증을 받지 않은 보안기술에 대한 검증도 진행될 것으로 보인다. 이미 몇몇 금융사의 IT자회사들이 관련 기술과 관련해 사전검증(PoC)에 나서는 등 움직임이 빨라지고 있다.
지난해부터 이어져왔던 보안 당면과제 해결도 올해 중점적으로 이뤄질 전망이다. 대표적인 것이 금융사의 망분리 사업이다. 금융당국의 ‘망분리 의무화’ 정책은 올해 금융 보안시장을 견인하는 주요 동력으로 꼽히고 있다.
2013년 금융당국이 발표한 ‘금융전산 보안강화 종합대책’에 따라 올해 말까지 시중은행 본점, 영업점에도 망분리를 적용해야 한다. 아울러 제2금융권의 망분리 사업도 발주될 것으로 예상돼 관련업계의 기대가 크다.
한편 올해 출범하는 금융보안원의 역할 및 과제에 대해서도 금융권의 관심이 증폭될 것으로 보인다. 출범 원년을 맞이하는 금융보안원의 올해 전략이 향후 금융 보안전담기구로서의 역할 설정에 큰 영향을 미칠 것으로 보이기 때문이다.
오는 10일 창립기념식을 기점으로 공식 출범하는 금융보안원은 그동안 빈번했던 금융보안사고에 대해 일원화된 대응은 물론 사전 사고 방지를 위한 전문기관에 대한 필요성에 따라 공식적인 업무를 시행하게 된다.
특히 금융보안원은 앞으로 범람하게 될 금융 IT 신기술 보안성 인증·검증 체계를 갖추게 될 것으로 보여 향후 금융사 보안 전략에 있어 어떤 영향을 끼칠 지 주목된다.
<이상일 기자>2401@ddaily.co.kr
[2024 IT혁신상품] AI 협업부터 비정형데이터 보호까지…지란지교그룹 '각개약진'
2024-12-19 18:33:01비트코인, 1억5000만원대 유지…RWA NOVA 코인, 비트마트에 신규 상장
2024-12-19 18:06:07'계엄군 점거' 서버 살펴본 선관위 보안자문위…"침입 흔적 없다"
2024-12-19 17:56:25[현장] 티빙·웨이브 합병 두고 CEO별 온도차…"주주 동의 필요 vs 無 관여"
2024-12-19 17:13:57[DD퇴근길] 갈길 먼 AI 기본법…바디프랜드, '가구' 선보인 이유는
2024-12-19 16:52:18