2024.05.19 (일)
올해는 보안 거버넌스 체계화 원년
새로운 원칙 세워야한다
카드사 대란 이후, 보안 휴유증 극복해야
올해 들어 초유의 카드사 보안 사태가 벌어짐에 따라 금융권 전체가 긴장상태에 돌입했다. 이번 카드사 고객정보 유출사례는 기존의 해커나 시스템적 보안보다는 외부 파트너사에 의해 이뤄진 고객정보 유출 사건이어서 이전과는 다른 패턴을 보여주고 있다. 따라서 업계에서는 당장의 미봉책보다는 중장기적이며 구조적으로 보안패러다임의 새로운 방향 전환과 보안체계 정립이 필요할 것이라고 입을 모으고 있다.
방창완 편집국장 bang@ciociso.com
기존에는 금전적인 이익을 노린 해커에 의한 침입이 주류를 이뤘지만, 이번 사건은 협력사 등 사람에 의해 자행된 고객정보 유출 사례여서, 시스템적 솔루션 구축만으로는 한계가 있다는 지적이 높다. 따라서 회사 내부의 근본적인 보안 거버넌스 체계 구축과 강력한 법시행, 내 외부 관계자들에 대한 보안 및 안보의식에 대한 계도가 필요할 것으로 보인다.
A금융사 관계자는 이번 사태에 대해 “사람이 가장 큰 문제로 지적된 만큼 해결하기까지의 과정이 쉽지는 않을 것”이라며 “지금까지 생각 없이 자행되어 왔던 보안사고가 앞으로는 ‘범죄행위’라는 사실을 인지해야 할 것”이라고 말했다. 하지만 사람에 의해 발생되는 보안사고는 몇 번의 교육과 규제만으로는 이뤄질 수 없는 것이 가장 큰 문제이다. 시스템적인 통제와 솔루션을 구축한다고 해도 마음먹고 이뤄지는 범죄행위에는 당해낼 도리가 없다는 것이다.
사람에 의한 ‘사고’는 해결방법 없어
따라서 앞으로 제2, 제3의 카드사 고객정보 유출사례가 발생할 여지가 충분히 있다는 것. 현재의 보안 패턴은 ‘소 잃고 외양간 고치기’식의 후속 조치만 이뤄지는 것이 전부였지만, 어쨌든 현 시점에서는 기존의 보안체계를 점검하고, 향후에 벌어질 수 있는 사태에 대해서라도 미연에 방지하는 것이 최선의 방법이 될 것으로 보인다. 기본적인 보안체계는 시스템운영 및 정보망, 이용자망을 체계화하고 개인정보보호 부분에 있어서 미흡한 점을 보강하는 것이다.
지나친 감독이 업계 자율성 해친다?
B금융사 관계자는 “금융감독기관의 보안가이드라인 기준과 감독절차에 대해 이의를 제기하고 싶지는 않지만, 감독규정이 지나치게 세세한 것도 문제”라고 지적했다. 지나친 규정은 감독대상 기업들에게 새로운 부작용을 낳을 수 있다는 것이다. 일률적인 규정 절차를 따르다보면 기본적인 보안체계를 갖출 수 있을지는 모르지만 능동적인 보안체계가 이뤄질 수 없으며, 엇비슷한 보안 체계는 해커들에게 새로운 빌미를 제공할 수 있다는 것이다.
정해진 룰과 패턴이 같다면, 분명히 거기서 허점은 발생할 수 있으며 새로운 공격 루트로 활용할 여지가 있다는 것이다.
대표적인 것이 ‘액티브X’체계라는 지적이다. 보안의 방법은 기업마다 능동적으로 달리 가져가야만 대량 유출과 같은 사태를 미연에 방지할 수 있다는 생각이다.
또한 보안을 바라보는 관점에 있어서 해외 선진국과 많은 시각차를 보이고 있는 것도 문제라는 지적이다. 해외 선진국의 경우는 사람에 대한 신뢰를 기반으로 하고 있으며, 문제가 발생했을 때에는 이를 대처하는 방법에 있어서도 근본적인 부분부터 풀어가는 경향을 보이고 있지만, 국내의 경우 사람에 대한 신뢰없이 기본적으로 부정적인 시각에서 바라보는 처벌위주의 관행이 만연되어 있어 근본적인 보안문제를 풀어가는 것에 대해 많은 어려움이 있다는 것이다.
업계 관계자는 “사실 몇 개의 카드사가 표면위로 부상했을 뿐이다. 블랙해커나 내 외부 이용자들이 마음을 먹는다면 일반 기업들의 보안망은 뚫릴 수 있다는 것이 문제”라고 지적했다.
모든 보안망과 체계를 갖춘다고 보안에 있어서 안정성을 답보할 수 있을까? 대부분의 금융 관계자들은 안정성을 답보할 수 없다고 잘라 말한다. 시스템적 안정망은 큰 피해를 줄이기 위한 보조적 수단일 뿐이며 보다 근본적인 대책은 ‘사람과 문화에 대한 계도와 관리’가 필요할 것으로 보인다. 또한 보안을 바라보는 시각도 예전과는 달라져야한다는 지적이다.
정책과 운영은 보안관리의 뼈대
보안 강화는 데이터를 보유하지 않는 것
정책에 있어서 꼭 필요한 데이터만 보관하고, 불필요한 것들은 점차 삭제하는 방법을 적용해 볼 수 있지만 보험사의 경우, 설계사를 통해 이뤄지는 입회신청서를 관리하는데 있어서 규제가 심해진다면 영업자체가 어려울 수 있다. 대부업체들에게 고객의 이름과 핸드폰번호, 연체정보는 영업에 있어서 가치가 있기 때문에 장기 채권에 대한 정보도 보관해야하는 금융사 입장에서는 부담이 따를 수 밖에 없다.
사실 개인정보보호법을 온전히 지키기 위해서는 사업 자체를 하지 말아야하는 극단적인 상황까지 몰릴 수 있다는 지적이다.
현재 금융당국의 권유에 의해 보안투자를 한다고 하지만, 투자 이후 “권한을 누구에게 줄 것인가?”에 대한 정책도 선행돼야할 것으로 보인다. 지금의 상황이라면 사람을 어떻게 믿고 일을 맡길 수 있느냐는 것이다. 보안 솔루션에 대한 투자와 교육, 내부적인 모니터링 체계가 갖춰진다고 해도 권한을 맡긴 사람을 믿을 수 없는 지경까지 이르면 그야말로 보안문제에 있어서는 해결책이 없다는 지적이다.
한 보안부서 담당자는 “보안업무를 충실하게 이행하기 위한다면 모두를 범법자의 시각으로 바라볼 수 밖에 없다. 회사 동료도 믿을 수 없으며, 본인조차도 믿을 수 없기 때문”이라고 토로했다. 이 담당자는 “DRM과 매체제어 솔루션을 구축했지만 그래도 믿음이 안가서 개발자들의 PC에 장착된 USB 자체를 막았다. 시리얼 넘버를 붙여서 관리하고 있다. 하드디스크도 물리보안을 위해 자물쇠로 채웠다. 시리널 넘버를 뗄려면 결재를 맡아야 한다”고 말했다.
사람을 믿을 수 없다는 것이 문제
그는 무엇보다 사람이 사람을 믿을 수 없다는 것은 무서운 부분이라고 말했다. 이것은 서로에 대한 신뢰성을 잃을 수 있는 문제라는 것이다. 또한 이런 규제 일변도의 정책은 대기업도 문제지만 중소기업의 경우, 법을 지킬 수 있는 여력이 없어 사업자체가 힘들어 질 수 있다는 것이다.
결국 기업의 보안성을 답보하기 위해서는 기본적인 보안시스템을 구축하는 것도 중요하지만, 정부차원에서 원점에서 다시 생각해보고, 기업은 회사에서 추구하는 목적이 무엇인지를 분명히 하며, 이런 체계 위에서 정책과 운영방법을 다시 세우는 대책이 필요하다는 지적이다.
E금융사 관계자는 “이번 사태에 대해 사고를 일으킨 당사자들의 제재가 필요하며, 해당 기업들의 대처와 책임이 따라야한다는 것은 당연하다. 하지만 앞으로의 대처 방안도 중요한 부분이다. 현 사회의 상황을 봤을 때 일반 기업들이 사업하기 힘든 구조로 가는 것 같아 안타깝다. 앞으로는 주민번호를 아예 사용하지 않도록 하고, 주민번호를 대체하는 키를 만들고 자연스럽게 영업이 이뤄질 수 있는 환경이 조성돼야 할 것”이라며 “국가 차원에서 보안환경을 재검토하는 고민이 필요한 시점”이라고 말했다.
선제적 보안 거버넌스 체계를 마련해야
F금융사는 보다 체계적인 보안구축을 위해 보안 거버넌스 환경을 조성하고 있다. 보안부서지만, 전 회사 차원에서 보안 프로세스가 자연스럽게 녹아들어가야 한다는 철학을 기반으로 프로세스 정립에 주력하고 있다. 우선 통제에 앞서서 보안관점에서 영업점, 사용자 부서의 필요사항 및 개선사항을 발굴하고 있다.
이 회사의 특이점은 선제적으로 보안환경 조성에 적극적으로 나서고 있다는 점이다. 시스템적인 부분보다는 조직 차원에서 새로운 보안 환경을 마련하는 것이다. 이를 위해 CIO와 CISO 분리를 명확히 하고, CISO에 대한 임기 보장을 하고 있다. 이 금융회사의 보안 철학은 몇 가지로 압축된다.
첫 번째로는 기존 보안 시스템을 강화하는 것과 선제적으로 보안에 대응한다는 것, 사람과 기기, 프로세스에 대한 취약성을 점검하고, 알려지지는 않았지만 발생할 수 있는 위협에 대응하는 것과 궁극적으로는 보안 거버넌스 체계를 구축하는 것이다.
이 회사 관계자는 “선제적인 보안을 위해서는 패턴 분석을 통해 일종의 시나리오를 만들고, 블랙리스트가 수립되면 이상 징후를 발견해 인터넷뱅킹이나 이체거래를 자동으로 막고 있다”고 말했다. 하루에 많게는 100건 이상의 분석이 이뤄진다. 정상적인 고객이 거래가 중지 되면 “은행에 연락 바랍니다”라는 통보를 하고, 확인 후 다시 거래가 이뤄지도록 하고 있다.
또한 24시간 내에 거래가 이뤄지지 않으면 자동으로 거래가 이뤄지도록 하고 있다. 사고가 발생하기 전에 미리 막겠다는 이런 선제적인 보안 시스템의 핵심은 ‘이상징후 모니터링 시스템’이다. 이 시스템은 전자금융 이상거래 탐지 및 사전대응체계 구축을 위해 이뤄지고 있다.
빅데이터로 패턴분석 추진
▲ “외부손님(유지보수)에게는 일종의 보안절차를 만들었다. 기본적인 점검을 받도록 하고 있으며, 내부절차를 따르도록 규정하고 있다. USB의 경우도 쓰기는 원천적으로 되지 않도록 강제하고 있다. 데이터를 가져간다고 해도 암호화를 통해 사용할 수 없도록 미연에 방지하고 있으며, 방화벽에 대해서도 이중화 장치를 갖추고 있다. 이런 절차와 시스템적 보안 체계를 갖춘다고 해도 사람이 저지르는 행위를 막는다는 것은 어려움이 따른다. 보다 계도적인 차원에서 거시적으로 바라봐야 한다” 이건국 보험개발원 정보서비스부문장 |
사람이 사람을 믿을 수 있어야 한다
거시적으로는 위협요소에 대해 기업이 갖추고 있는 보안장치를 매칭시켜 허점이 발견되면 이에 대한 대안을 마련하는 방식이다. 이 회사 관계자는 “고객정보가 넘어가면 확인을 했는지 파악하고 이를 수치화해서 정적 수준이상이 되면 적극 대처하는 방법을 모색하고 있다”고 설명했다.
이번 카드사 고객정보 유출사례는 그동안 안일하게 생각했던 고객정보의 중요성을 다시한번 일깨우는 계기가 되고 있다. 사태 이후 이를 올바르게 해결하는 자세도 중요하지만, 앞으로 보안 정책을 어떻게 세워가는가가 중요한 부분이 될 것으로 보인다. 회사마다 독특한 형태의 보안 거버넌스 체계를 구축하는 것도 방법이겠지만, 무엇보다도 사람이 사람을 믿을 수 있는 신뢰가 구축돼야 한다는 것이 업계의 의견이다.
업계의 한 관계자는 “공공성과 책임, 신뢰는 사회인으로서의 인격이며 발전의 토대가 된다. 사람이 사람을 믿지 못하는 사회가 되어서는 곤란하다. 통제하고, 규칙을 세우는 것도 중요하지만 사회의 자정적인 노력이 필요하다. 이 부분이 선행돼야만 기업의 안정적인 보안환경이 구축될 수 있을 것”이라고 말했다.