전자금융거래 수단의 다양화와 거래규모가 해마다 증가됨에 따라 금융IT에 대한 위협도 갈수록 확대되고 있다. 감독당국 역시 이에 대한 대비책을 마련하기 위해 다양한 방법론을 마련하고 있다.
CIOCISO 매거진은 금융기관 CIO, CISO에게 최근 감독당국의 보안강화 대책 및 감독에 대한 정책과 검사 방향을 설명하고, 전자금융거래의 안정성 및 소비자 보호 강화를 위해 CISO 포럼 제4차 조찬 세미나를 개최했다. 이번 세미나는 김윤진 금융감독원 IT감독국 부국장이 ‘금융IT와 보안’이라는 주제로 금융IT의 현재와 미래에 대해 짚어 보았다. 또한 이보성 미라지웍스 박사는 ‘VDI와 워크스페이스 가상화’란 주제로 강연을 진행했다.

제도, 기술, 인력에서 통합적 보안강화 필요

▲ 김윤진 금융감독원 IT감독국 부국장

“국내 금융은 창구업무만을 수행하던 오프라인 업무환경에서 CD/ATM기를 이용한 자동화 업무로, 또 인터넷을 이용한 온라인 전자금융으로, 그리고 최근에는 시간에 구애받지 않는 스마트 뱅킹까지 IT의 발전과 밀접한 관계를 맺어왔다. 이런 상황에서 감독 당국은 IT보안에 있어서 안전하고 신뢰성 있는 환경을 조성하고 소비자 보호 강화를 위해 노력하고 있다”
김윤진 금융감독원 IT감독국 부국장은 강연에 앞서 국내 금융IT의 발달 과정을 살펴보며 강연의 서두를 꺼냈다. 그는 전자금융의 발전할수록 IT에 대한 보안사고가 급격히 증가하고 있다며, 금융보안 수준을 한 단계 높일 수 있도록 노력해야 한다고 덧붙였다.
김 부국장은 “보안 수준은 특정기술에 의해 발전하는 것이 아니라, 제도, 시스템(기술), 사람에 의해 결정된다”며 “금융감독원은 2001년 전자금융업무 감독규정 제정부터 2013년 금융전산 보안강화 종합대책에 이르기까지 금융기관의 위기대응 체계 강화시키기 위해 일조하고 있다”고 설명했다.
특히 금융감독원은 금융전산 보안 협의회를 설치해 금융전산 보안에 대한 컨트롤타워 역할을 강화하고, 전금융권을 아우르는 공동 백업전용센터(제3백업센터)를 구축할 계획에 있다. 뿐만 아니라 침해사고전담반을 금융ISAC 내 설치하고 위기대응 능력을 강화한다고 밝혔다. 김 부국장은 “제도뿐만 아니라 시스템, 인력조직 강화를 위해 망분리 의무화는 물론 CEO 책임 하에 보안취약점 점검 및 보안을 수행하도록 시행했다”며 “CISO 역할과 독립성을 강화하고 금융보안 전문인력 양성을 통해 전산보안인력에 대한 사기진작을 강화하겠다”고 말했다.
또한 김 부국장은 전자금융거래 증가에 따른 리스크 및 소비자 피해가 증가해 법적으로 소비자 보호가 강화되고 있는 추세라고 말했다. 현행 전자금융사고 이외에 해킹사고로 고객에게 손해가 발생하면 금융회사에도 손해 배상 책임을 부과하겠다는 전자금융거래법 개정이 시행되며, 장애인에 대한 전자금융 이용 편의성도 제고되고 있다. 그는 “그동안 금융기관들이 금융당국의 지침들만 수행하면 됐다”며 “그러나 앞으로 금융당국은 원칙중심의 규제체계로 전환하고, 금융기관이 자율적이며 더욱 강화된 보안대책을 수립해야 한다”며 강연을 마쳤다.

망분리 합리적으로 구축하자

▲ 이보성 미라지웍스 박사

이보성 미라지웍스 박사는 강연에 앞서 공공 및 민영 기관 망분리 의무 확산에 흐름을 분석하며 세미나를 진행했다. 이 박사는 2006년부터 해킹 대응방안 계획부터, 2008년 공공기관 시범사업으로 망분리 사업이 진행되고, 2012년부터 망분리 의무대상자가 확산됐다고 발표했다.
그는 “모든 기업에서 논리적 망분리를 구축에서 많은 편의성을 주는 동시에 보안 안정성을 완벽하게 보장되는지에 대한 고민을 하고 있다”라며 “망분리 장·단점을 고려해 기업에서 사용 편의성도 고려하고, 보안도 강화하고, 비용마저 절감할 수 있는 방법을 모색해 봐야할 때”라고 말했다. 논리적 망분리는 크게 서버 가상화(SBC/VDI)와 워크스페이스 가상화(CBC)으로 나눌 수 있다. 서버 가상화는 가상 서버 실행을 통해 단말의 중앙집중화로 단말관리가 용이하고, 업무 이동성이 높다는 장점이 있다.
반면 CBC는 영역 전환이 불필요하며 기존 자원을 최대한 활용해 최저 비용으로 망분리를 구축할 수 있고 실시간 영역 전환으로 업무 생산성을 유지할 수 있는 장점이 있다. 또한 유지 보수 관리가 용이하고 손쉽게 인터넷 영역을 초기화할 수 있다. 이 박사는 “서버 가상화는 가상 전용 서버 및 중앙 스토리지 연계 등으로 초기 인프라 비용이 많이 투입된다”며 “워크스페이스 가상화의 경우 업무와 인터넷 트래픽을 분리하는 VPN 장비만을 추가로 설치하고도 이용이 가능하다”고 말했다.
미라지웍스가 제공하는 워크스페이스 가상화 방식의 망분리는 업무용 N/W접속, 인터넷 접속, 영역간 데이터 이동 관리가 가능하며, 서버 관리를 위한 별도 인력이 필요없다. 또한 서버 가상화 방식에 비해 PC교체 주기가 짧고, 연간 전력사용량(3,000 사용자 기준)도 약 32배 효율적으로 사용할 수 있다. 무엇보다 기존의 업무환경과 동일한 환경에서 근무할 수 있다는 장점이 있다.
이 박사는 “성공적인 논리적 망분리 구축을 위해서는 우선 솔루션 도입 목적을 확인하고, 법령과 규제에 있어 정부기관의 가이드라인을 준수해야 한다”며 “이뿐만 아니라 구축·유지비용에 대한 확인을 통해 각 기업에 맞는 망분리 솔루션 도입이 필요하다”고 강연을 마무리했다. 한편, 이번 세미나는 10월 29일 여의도 콘래드호텔에서 진행됐다.

Q&A
김윤진 금융감독원 IT감독국 부국장의 강연이 끝나고 참석자들의 질문 시간이 있었다. 아래는 질의응답 내용.

▲ 국태원 신한금융투자 부장

Q : 해킹이나 파밍과 같은 금융사기의 경우, 보안카드로 인한 문제가 심각하다. 금융감독원에서 보안카드를 없애거나 대채할 만한 수단을 강구하고 있나?

A: 보안카드카드 이외의 보안매체의 필요성과 문제제기는 일면 타당하다고 생각한다. 그러나 OTP같이 보안카드를 대체할만한 보안매체를 적용했을 때의 또 다른 부작용도 고려하지 않을 수 없다. 현재도 공인인증서만을 전면적으로 사용하게 해서 비판을 많이 받고 있듯이, 단일매체만을 사용할 경우 다른 보안매체를 발달을 저해할 수 있다. 또한 대체보안매체로써 OTP에 문제가 생길 경우, 우리나라 전체 금융기관이 마비가 되는 문제점도 생길 수 있어, 보안카드를 대체할만한 수단은 신중하게 검토할 필요가 있다.

▲ 김태영 익스트러스 부사장

Q : 인증제도의 다양화를 위해 운영되는 인증방법평가위원회에서 어떤 기술들을 추가로 심의통과했는가?

A: 10.10월 이후 현재까지 총 9회의 위원회가 개최됐으며 총 2건의 인증방법이 안전성 평가가 완료됐다.
첫 번째 방식은 페이게이트의 AA인증방식으로 인터넷 쇼핑몰에서 결제창이 뜨면 가상의 금액승인이 청구된다. 이를 승인하면 핸드폰 SMS 인증번호로 본인인증이 되어 이전의 가상의 금액이 취소되고 정상적으로 결제가 이뤄진다. 즉 SMS 인증승인이 2번, 거래취소승인 2번이 일어나며 최종 1건의 결제가 이뤄지는 시스템이다. 두 번째 방법은 LGCNS에서 개발한 방식으로 스마트폰으로 문자인증을 해주는 방식이다.
평가위원회에서 평가가 완료된 인증방법은 아직까지 카드결제시장에서 활용도가 미미한 편이다. 다만, 고객들에게 결제에 대한 선택권을 제공하기 위해 카드사가 새 인증방법을 시행할 수 있도록 설득하고 있다.