2024.05.09 (목)
최근 전자금융거래의 규모 및 건수가 크게 증가하고 있으며, 금융회사 운영에 있어 IT 의존도가 높아짐에 따라 이제 금융회사의 IT 보안실태와 IT 리스크 관리수준은 곧 금융회사의 신뢰성을 평가하는 핵심요소로 자리 잡고 있다.
금융감독원은 금융ITㆍ전자금융 안전성 확보를 위해 지난해 6월 금융회사 IT보안강화 종합대책을 내놓고 금융사들에 CISO 임명을 의무화하는 등 IT부문의 감독을 강화해 나가고 있다.
지난 5월 금융감독원 IT감독국장으로 부임한 송현 국장은 감독 강화뿐 아니라 금융사들의 운영 실태를 조사하고, 애로사항을 파악함으로써 보다 시장상황에 부합하는 지도 방안을 마련한다는 방침이다. 지난 7월부터 시행해온 IT보안 및 금융회사 고객정보보호 실태에 대한 막바지 테마검사로 바쁜 송현 국장을 만나 금감원의 IT 감독방향과 추진사업, 최근 주목하고 있는 금융 IT 이슈 등에 대해 들어봤다.
연보라 기자 bora@ciociso.com
정보보호, 경영진의 각별한 관심과 투자 필요
“이제 금융회사의 IT 보안 실태와 IT 리스크 관리 수준은 곧 해당 기업의 신뢰성을 평가함에 있어 핵심요소로 자리 잡고 있다.”
송현 금융감독원 IT감독국장은 최근 전자금융거래의 규모와 건수가 크게 증가하고 있으며, 금융회사 운영에 있어서 IT 의존도가 높아짐에 따라 금융 IT 보안의 중요성이 커지고 있다고 강조했다.
지난 5월 금융감독원 IT감독국장으로 부임한 송현 국장은 한국은행과 금융감독원에서 은행, 신용카드회사, 비 은행 금융회사, 자산운용회사 등 다양한 금융권역에 대한 감독ㆍ검사 업무를 경험해왔다. IT 분야 전문가는 아니지만 이와 같은 경험으로 금융산업의 특성과 금융소비자 보호의 중요성에 대해서는 누구보다 잘 이해하고 있다.
송 국장은 “특히 금융 IT부문의 방심과 실수는 곧바로 고객의 금전피해로 이어지고 해당 기업의 신뢰도 하락으로 직결되는 만큼, 정보보호와 IT리스크에 대한 금융회사 경영진의 각별한 관심과 투자가 필요하다”면서 “금융회사는 감독당국에서 마련한 정보보호 관련 제도 및 지도사항에 대해 적극적으로 협조해야 하며 금융회사 자체적으로도 IT보안 위협요소에 대해 자체 점검과 취약점에 대한 보안조치를 충실히 이행해 금융회사 IT 및 전자금융거래의 안전성 확보를 위해 노력해야 할 것”이라고 촉구했다.
‘5.5.7 규준’ 예산기준은 대부분 만족, 인력은 미달
금감원은 지난해 10월 금융회사 IT 부문 보호업무 모범규준을 발표했다. 여기에는 총 기업 임직원수의 5% 이상을 IT인력으로, 정보기술부문 인력의 5% 이상을 정보보호인력으로, IT 예산의 7% 이상을 정보보호 예산으로 확보하도록 하는, 이른바 ‘5.5.7 규준’이 포함돼 있다.
대책 발표 후 5개월여가 지난 3월 중 금융회사 IT보안강화 종합대책의 이행상황에 대해 금융권을 대상으로 표본조사를 실시했다.
그 결과, IT보안 예산 부문에 있어서는 대부분의 금융회사가 권고 수준을 확보해 집행하고 있는 것으로 나타났다.
정보기술부문에 있어서도 이용자 정보 등 주요정보의 단말기 보관 금지, 인사발령에 따른 권한 변경 시 계정 삭제ㆍ변경 등의 보안대책을 적정하게 이행하고 있었다.
송현 국장은 “이밖에도 전산자료 및 이용자 정보 입출력 시 관리자 승인제도 등을 도입해 접근통제를 강화하고 있는 등 금융회사들이 IT 모범 규준 이행을 위해 노력하고 있음을 알 수 있었다”는 한편 “다만, 정보보호 인력 부문에서는 일부 금융회사가 권고수준에 미달한 것으로 나타났다”고 전했다. 송 국장은 “이는 대형 금융사의 경우 분모가 되는 전체 임직원 수가 워낙 많아 채용 권고 기준인 5%를 맞추기가 상대적으로 어려운 이유”라고 분석하면서 “이들 금융회사도 향후 인력충원 등을 통해 이를 해소할 계획인 것으로 파악하고 있다”고 설명했다.
“CISO 제도, 현황 파악해 개선해 가겠다”
IT보안강화 종합대책의 후속조치로 올해 5월부터 시행된 CISO 임명 의무화 제도에 대해서도 업계 내 의견이 분분하다. 소수 몇몇 금융사를 제외하고는 대부분 CIO가 CISO를 겸직하는 형국으로 CISO 제도가 유명무실해진 것이 아니냐는 업계의 우려가 높아지고 있다. 게다가 단독으로 CISO를 임명한 기업이라도 정보보호와 IT 간 역할분담이나 조직체계가 체계화되지 않아 진통을 겪고 있는 것이 사실이다. 이에 금감원에서 구체적인 가이드라인을 만들어줘야 하는 것 아니냐는 요구가 나오고 있는 상황이다.
이와 관련해 송현 국장은 “각 금융사마다 천차만별로 사정이 다르기 때문에 너무 상세한 가이드라인을 만들면 오히려 기업 자율성을 침해할 우려가 있다”고 말했다.
송 국장은 “CISO 제도가 아직은 초기단계라 역할 분담이나 조직체계가 다소 미흡한 측면이 있다”고 인정하면서 “그러나 겸직이든 단독이든 CISO를 보필할 수 있는 정보보호 조직이 구성될 수 있는 기틀을 마련했다는 점에서 의미가 있다고 생각한다”고 밝혔다.
더불어 그는 “향후 추가적인 운용실태조사를 통해 금융사들의 현황과 애로점들을 파악하고, 이를 종합해 지도방안을 만들 계획”이라고 전했다.
정보보호업무 종사자 사기진작 방안 강구
IT 모범 규준의 정보보호 인력 지침에 따라 많은 금융사들이 인력 충원을 계획하고 있으나 생각만큼 녹록치 않은 상황이다. 정보보호 인력을 전체 IT인력의 5% 이상 규모로 채용해야 하나, 요즘 보안인재 구하는 것이 ‘하늘의 별 따기’이기 때문이다.
보안인력이 부족한 데에는 여러 가지 요인이 있지만, 이 문제를 해결하기 위해서는 우선적으로 보안인력에 대한 처우를 개선하고 사기진작 방안을 마련해야 한다는 의견이 제시되고 있다. 금융회사 IT보안 업무에 대한 규제를 강화하고 대책의 실효성을 확보하기 위해 임직원 처벌기준을 강화하면서 금융회사 IT보안업무 종사자의 책임과 업무 부담이 증가해 보안 업무를 기피하는 경우가 적지 않기 때문이다.
이에 금감원은 정보보호업무 종사자의 업무만족도를 높이고 사기를 진작할 수 있는 방안을 강구하고 있다. 그 방안으로는 우선 IT 보안 우수기관과 유공자에 대한 인센티브를 검토한다는 계획이다. IT 보안 우수기관에게는 IT감독국이 주관하는 IT부문 현장점검 주기를 조정해주거나 우수 보안인력에 대한 포상을 확대하는 방안을 추진하고자 하고 있다.
더불어 IT 보안 업무환경 개선을 위해 IT보안 업무를 담당하는 IT보안조직 운영 내실화를 유도하고 IT보안 인력 및 예산에 대한 하한기준을 지속적으로 확충해 IT보안 인력의 업무부하를 줄이고 투자부족에 따른 업무 리스크를 제거할 방침이다.
뿐만 아니라 정보보호 교육기관을 통해 임직원 교육의무 이수시간을 준수하도록 지도하는 등 IT 보안 교육을 강화할 계획이다. 현재 임원은 3시간 이상, IT업무 담당 직원은 9시간 이상, 정보보호 업무 담당직원은 12시간 이상의 정보보호 교육을 이수하도록 돼있다.
송현 국장은 “IT보안 실무자들과 소통을 활성화해 현장의 목소리에 귀 기울이겠다”고 전했다. 정기적으로 금융회사 CIO 및 정보보호 실무자들과의 간담회를 통해 IT감독ㆍ검사 업무의 방향을 설명하고 금융회사의 애로 및 건의사항을 청취해 해결방안을 모색하겠다는 방침이다. 또한 IT 관련 주요이슈에 대해 세미나를 개최하거나 유관기관이 주관하는 포럼 등에도 적극 참가하겠다는 뜻을 전했다.
위ㆍ변조 앱, 피싱사이트, 파밍 등 경고
송현 국장은 최근 대표적인 금융 피해사례 3가지에 대해 설명하며 금융사들의 적절한 조치와 사용자들의 각별한 주의를 요구했다.
그 중 첫 번째는 위ㆍ변조된 금융 애플리케이션에 의한 것이다. 탈옥 또는 루틴한 스마트폰에서는 금융사의 정책상 금융 애플리케이션이 실행되지 않는데, 이를 우회하기 위해 애플리케이션을 위ㆍ변조해 사용하는 사례가 늘고 있다. 이때 악의적인 해커가 위ㆍ변조된 애플리케이션에 악성코드를 심어 배포했을 경우 그 애플리케이션을 다운받은 사용자의 스마트폰 내 정보가 유출되거나 전자금융사고가 발생하는 등 보안위협이 증가할 우려가 있다.
이에 금감원은 지난 6월 ‘스마트폰 앱 위변조 방지대책’을 마련해 금융회사가 스마트폰 임의 개조를 탐지 및 차단하고 애플리케이션에 대한 보호장치를 강화하도록 지도했다.
한편 공인인증서 무단 재발급에 따른 전자금융사고도 빈번하다. 이는 피싱사이트를 통해 고객정보를 탈취한 후 공인인증서를 무단으로 재발급 받아 고객의 예금을 편취하는 경우이다. 이러한 공인인증서 재발급 수법을 통한 고객피해를 예방하기 위해 금감원은 올해 1월 관계기관과 합동으로 ‘보이스피싱 피해방지 종합대책’을 마련해 고객이 공인인증서를 분실 또는 훼손해 재발급 받거나 인터넷 뱅킹으로 300만 원 이상을 이체하는 경우에는 지정 단말기에서만 가능하도록 하거나 추가인증을 받도록 하는 방안을 추진하고 있다. 추가인증 방법으로는 일회용비밀번호(OTP)와 휴대폰 SMS를 결합한 2채널 인증 혹은 대면확인 등이 거론되고 있다. 금감원은 이 같은 방안을 3/4분기 중 희망자를 대상으로 시범적으로 실시하고 이후 대상을 확대할 계획이다.
파밍(Pharming) 또한 최근 피해가 급증하고 있는 신종 금융사기다. 정상적으로 은행 인터넷 뱅킹사이트로 접속했으나 위조 사이트로 이동되도록 해 정보를 유출한 후 전자금융 예금을 편취하는 방식이다. 이에 감독원에서는 금융회사에 대해 정상적인 인터넷뱅킹 사이트 인지(認知) 강화 조치와 인터넷 뱅킹 이용 시 인증강화 등의 조치를 취할 것을 지도하고 있다.
송현 국장은 “이용자들도 금융회사의 인터넷 뱅킹 사이트 이용 시 PC백신 프로그램 등을 이용해 악성코드 탐지 및 제거하고, 금융회사가 제공하는 인터넷뱅킹 사이트 인지강화 서비스에 가입해 접속한 뱅킹사이트의 정상여부를 확인하는 등 보이스피싱이나 파밍과 같은 신종 사기수법에 대한 피해가 발생하지 않도록 주의를 기해야 한다”고 당부했다.
금감원 감독방향, 시장 상황과 발맞출 것
“IT는 대세다, 보안은 생명이다.”
송현 국장이 최근 한 IT 관련 모임에서 한 건배사다. 갑자기 요청을 받은지라 순간적으로 떠올린 문구였는데, 뒤돌아 생각해봐도 IT의 기능과 IT 보안의 중요성을 적절히 함축한 의미 있는 문구인 듯해 그 후로도 자주 애용하고 있다.
지금까지 IT 부문이 금융회사의 영업이 원활히 이뤄지도록 보조하고 지원하는 기능에 국한돼 있었다면, 앞으로의 IT 기능은 이러한 단순 보조ㆍ지원 기능에서 벗어나 IT 기능이 금융회사의 영업활동과 접목돼 영업활동을 선도하게 하고, 궁극적으로는 IT 부문의 경쟁력이 곧 금융회사의 경쟁력으로 평가받게 될 것이라는 것이 송 국장의 생각이다.
이러한 시기에 IT 감독국장의 직을 맡고 있는 데 대해 무한한 책임을 느끼고 있다는 송현 국장. 그는 “금감원의 감독ㆍ검사 방향이 시장의 상황이나 현실에 어긋나지 않는 것이 무엇보다도 중요하다”며 “향후 이러한 방향으로 업무를 추진해 나가도록 하겠다”는 포부를 밝혔다.
송현 금융감독원 IT감독국장 1986 서울시립대 회계학과 졸업 1990 고려대 경영대학원 석사 졸업 2005 금융감독원 여전감독실 팀장 2007 금융감독원 은행검사1국 팀장 2008 금융감독원 금융지주서비스국 팀장 2009 금융감독원 일반은행서비스국 부국장 2011 금융감독원 금융서비스개선국 국장 2012 금융감독원 IT감독국 국장 |