- 비대면·AI·클라우드·금융플랫폼 확대… 보안위협 전방위 고조

- “CISO 역할 강화”… 금융회사 ‘내부 보안거버넌스’ 재정립도 시급

[디지털데일리 박기록 기자] “뉴스에 안나와서 그렇지 현재 국내 금융회사들은 하루에는 수십차례의 외부 보안 공격을 받고 있습니다. 방어에 성공했기때문에 겉으로 혼란이 드러나지 않을 뿐이죠. 앞으로도 어떤 형태, 어떤 방식으로 공격이 들어올지는 아무도 모릅니다. 다만 한가지 분명한 사실은 이렇게 금융 인프라가 평온함을 유지하기위해서는 엄청난 투자와 대응이 지속적으로 이뤄져야한다는 것입니다.”

국내 한 시중은행 CISO(정보보호최고책임자)의 말이다. 이처럼 금융권은 급격한 디지털‧IT혁신 발전 수준에 맞게 보안 수준도 동시에 확보해야한다는 과제에 직면해있다.

‘제로 트러스트’(Zero Trust)를 지향하는 금융 보안의 목표는 금융권의 IT전략을 압박하는 요소다. 혁신적인 보안 기술의 적용과 제도적 뒷받침이 요구되고 있는 가운데 금융권의 보안위협은 지속적으로 증대되고 있다.

2023년 금융권에서는 ▲퍼블릭 클라우드 확산에 따른 금융 IT인프라 본연의 보안위험 노출과 대응 ▲비대면 금융플랫폼 확산에 따른 본인확인 등 보안 강화 ▲생체인증을 비롯한 고도화된 보안 수단으로의 전환 ▲금융시장의 불안을 야기하는 딥페이크와 개인 금융자산 탈취를 노리는 보이스피싱의 지능화 ▲‘챗 GPT’와 같은 생성형 AI의 적용에 따른 ‘AI 보안 리스크’의 대응 등이 주요 현안이다.

과거에 비해 금융권이 직면하고 있는 보안 위협의 범위와 깊이가 걷잡을 수 없을 정도로 빠르게 확대되고 있음을 어렵지 않게 알 수 있다.

특히 올해는 북한과의 긴장관계 확대, 러-우크라이나 전쟁 장기화 등 지정학적 리스크가 여전히 고조된 상태다. 국가간 ‘사이버전쟁’ 가능성도 그만큼 커지고 있다. 이는 사실상 국가 기간인프라인 금융망의 안전을 위협한다는 측면에서 결코 좋은 상황 전개는 아니다.

금융 당국과 금융권은 다양한 형태로 제시되는 대규모 APT(Advanced Persistent Threats, 지능형 보안위협)공격 가능성에도 대응 수위를 높여야하는 상황이다.

그러나 이같은 전방위 보안 위협의 확대에도 불구하고 “금융 현장에선 보안 조직의 강화, 보안 예산의 증가 등은 폭넓게 이뤄지고 있는지 체감할 수 있을 정도의 수준은 아니다”라는 평가가 여전히 나오고 있다.

특히 역할이 더 중시돼야할 CISO 조직은 금융회사내에서 존재감이 떨어진다는 지적을 받고 있다.

금융산업의 디지털화가 진행될수록 결국 보안이 전부인 상황으로 시대는 빠르게 전환되고 있지만 보안 위협에 과연 효과적으로 대응하고 있는지는 의문이 커지고 있다. 이러한 위기감은 금융 당국의 2023년 금융보안 정책 기조에서도 드러난다.

◆“자율과 책임 중시” 금융보안 정책… 강화된 ‘금융보안 규제 선진화 방안’ 마련

금융감독원은 작년 12월, 급변하는 IT 환경에 탄력적으로 대응할 수 있도록 ‘금융보안 규제 선진화’ 추진 방안을 제시했다. 2023년 금융 보안에 대한 정책적 가이드라인을 제시한 것이다. 이 가이드라인은 앞서 개최된 ‘제5차 금융규제혁신회의’ 결과가 대부분 반영된 것으로 주요 골자는 크게 ▲보안 거버넌스 개선 ▲보안규제 정비 ▲관리·감독의 선진화 세가지로 요약된다.

먼저 ‘보안 거버넌스 개선’은 금융회사 등이 전사적 차원에서 보안을 준수하고, 리스크 기반의 자율보안체계를 구축할 수 있도록 금융회사 스스로 규율체계를 더 강력하게 개선하는 것이 핵심이다.

금융 감독 당국이 과거처럼 포지티브 방식으로 금융 보안을 일일이 규제하는 것은 더 이상 실효적이지 않으며, 이미 금융권이 직면하고 있는 보안 위협의 범위 또한 너무 넓어져버렸다는 인식에서 출발한 것이다.

또 ‘보안규제 정비’는 규제는 목표·원칙 중심이며 사후책임을 강화하겠다는 것이다. 지나친 보안 우려로 금융회사의 디지털전환(DT) 노력이 방해받지않도록 배려하되 사고 발생시 그에 따른 책임은 엄중히 묻겠다는 것이다. 이와함께 ‘관리‧감독의 선진화’는 금융보안 전문기관이 금융회사 등의 보안체계를 검증하고 컨설팅할 수 있도록 지원을 강화하는 것이 주요 골자다.

물론 이같은 ‘자율보안규제’ 중심의 금융보안 감독 기조 자체는 지난 몇 년간 큰 변화없이 일관성이 유지돼왔다.

기술적으로 본다면, ‘금융보안규제 선진화’ 방안은 금융권의 클라우드·빅데이터·AI 등 디지털 신기술 활용이 확대됨에 따라 금융보안의 중요성이 증가한데 따른 정책적 가이드라인의 성격을 가진다.

금융회사의 신기술 도입에 따른 보안 취약점을 이용한 랜섬웨어, DDoS 공격 등 사이버 위협의 유형도 다변화하고 있고, 여기에 빅테크의 금융업 진출과 클라우드 등 새로운 형태의 IT아웃소싱 확대 등으로 ‘제3자 리스크’가 심화되고 있다는 점을 고려해 규제 방안에 반영했다.

특히 ‘제3차 리스크’는 클라우드 제공기업의 계약 불이행을 포함해 외부 데이터센터의 화재 또는 보안사고(장애발생 및 정보유출) 등의 사고가 금융 부문으로 전이되는 리스크를 의미하는데, 각종 데이터센터(전산센터) 사고와 서비스 불통 사태 등으로 ‘제3자 리스크’ 관리에 대한 중요성은 올해 더욱 강조되고 있다.

◆금감원 "금융회사 보안조직체계 허술, 결국 CEO들의 책임" 질타

하지만 금융 당국은 금융보안이 가지는 중차대한 가치가 있음에도 국내 금융권의 보안조직 체계가 여전히 허술하고 미흡하다는 인식을 하고 있다.

금융감독원은 '금융보안 규제 선진화 방안'을 발표하면서 “금융회사 등은 금융보안을 정보보호최고책임자(CISO) 중심의 실무적 문제로만 인식하고 있으며, 사고 발생시 임기응변식으로 대응하고 있는 실정”이라고 신랄하게 비판했다.

또 “금융보안을 정보보호 부서에만 맡겨놓고 현업부서나 내부 감사조직 등을 모두 포함하는 전사적 차원의 금융보안 역할 및 책임 부여는 미흡하다”고 질타했다. 금융회사 최고경영진(CEO)들에 대한 보다 근본적인 각성을 요구하고 있는 것이다.

금감원은 이같은 금융권의 미흡한 보안의식이 일소되지않고 있는 근본적인 이유로 “결국 금융보안을 기술적 영역으로 한정하고 있기때문”이라고 진단했다.

당장 공격적인 플랫폼금융 서비스를 펼쳐야하는 상황에서, 금융회사들의 핵심 전략과 우선 순위 등에서 보안이 밀리면서 결과적으로 종합적인 보안 전략 수립이 어려운 상황이라는 것이다.

또한 금감원은 금융회사들이 자율보안체계 구축을 위한 자체 리스크 평가, 전문인력 육성 등에 대한 투자도 미흡해 보안 리스크 대응에 스스로 한계가 있다고 보았다. 임직원 의무 교육시간 충족 등 ‘전자금융감독규정’상 안전성 확보조치의 최소 기준만 준수하려할 뿐 전문 보안인력 양성 등 능동적 보안활동에는 소극적이라는 지적이다. 실제로 이같은 금감원의 진단은 공감할 부분이 적지않다.

◆“기존 금융 보안규정, 시대에 뒤떨어져” 금융 당국의 인식

결국 “이같은 기존의 느슨한 규제 수준으로는 급변하는 IT환경을 신속하게 반영하지 못하며, 새로운 본안 리스크에 효과적으로 대응하기 곤란하다”는 것이 금융 당국의 판단이다. 특히 작년 경기도 분당 SK 데이터센터 화재 사태로 기존 감독규정의 개정 필요성이 강하게 제기됐다.

무엇보다 금감원은 보안규정 준수가 금융회사 등의 보안 목표로 인식돼 수동적인 보안 활동에 머무르는 한계를 노출했다고 보았다. 즉 금융회사가 규정상 보안 의무만 준수하면 모든 보안 책임을 다하는 것이라는 인식이 만연하고, 또 금융감독 규정에 열거된 보안방법 등에만 집착해 자율적으로 보안을 강화할 수 있는 다른 방법에 대한 가능성을 스스로 차단하고 있다는 것이다.

한편 금융 보안 규제의 획일성이 가져오는 문제점도 지적되고 있다. 금융회사 등의 외형(규모), 성격 등에 따른 리스크 경중을 고려하지 않고 평균 수준의 금융회사를 상정해 통일된 보안 의무를 부과함에 따라, 영세한 전자금융업자들은 보안규제 대응이 어려운 상황도 발생하고 있다는 것이다.

금융 당국은 이같은 문제점을 극복하기위한 ‘보안 거버넌스 개선’ 방안을 제시했다. 관련하여 무엇보다 금융회사내 정보보호최고책임자(CISO)의 권한을 강화하는데 역점을 두고 있다.

이를 통해 중요 보안사항의 이사회 보고 의무화 등을 통해 금융보안을 기업의 핵심가치로 제고하겠다는 전략이다. 금감원에 따르면 미국의 경우, CISO는 리스크 관련 주요 회의에 참석하고 CEO에게 직접 보고(美 FFIEC)하고, 사이버보안 프로그램과 중요 보안리스크를 이사회에 보고(美 2023 NYCRR 500)하고 있다.

아울러 금융회사 등이 보안리스크를 스스로 분석‧평가하고, 리스크에 비례하여 보안방안을 수립할 수 있는 리스크 기반의 ‘자율보안체계’로의 전환을 추진하겠다는 전략이다.

‘보안규제 정비’방안에 대해서도 금융 당국은 원칙‧상위 기준을 제시하고, 목표 달성과정은 금융회사 등의 자율적인 판단을 존중하겠다는 것이다. 따라서 현재 전가금융법상 ‘안전성 확보의무’를 인력·조직·예산, 내부통제, 시스템 보안, 데이터보호 등으로 구분해 금융보안의 주요 원칙과 목표를 법에 명시하되 세부사항은 폐지하기로 결정했다.

* 본 기사는 디지털데일리가 7월 발간한 <2023년 디지털금융 혁신과 도전>에 게재된 내용을 요약한 것으로, 실제 책의 편집 내용과 다를 수 있습니다. 해당 도서는 디지털데일리 홈페이지를 통해서만 온라인 한정 판매되며 일반 서점에서는 판매하지 않습니다.