금융IT 분야에 대한 금융감독원의 관리 방침이 건별 사건 자체 보다는, 위험에 대응해 얼마나 자율적인 방지 노력을 기울이고 있었는지에 집중된다.
26일 금융보안원 등이 주최한 금융정보보호컨퍼런스2017에서 '금융IT 감독 현안 및 이슈'를 주제로 발표한 금융감독원 정기영 IT총괄팀장은 과거와 달라진 금융감독 방침을 소개했다.
금융과 IT기술이 융합하는 과정에서 빅데이터, 클라우드컴퓨팅, 블록체인, 오픈플랫폼 등이 활용되고 있다.
그 사이 금융사를 대상으로 한 해킹은 2013년 11건을 기록한데 이어 감소추세였으나 올해 상반기에만 21건이 발생하는 등 급증했다. 데이터를 암호화해 인질 삼아 댓가를 요구하는 랜섬웨어, 분산서비스거부(DDoS), ATM해킹 등 공격이 금융권을 대상으로 빠르게 늘어난 탓이다.
핀테크 서비스가 등장하면서 금융사의 IT보안통제는 더 어려워졌다. 클라우드컴퓨팅은 망분리를 기본으로 한 보안체계를 어렵게 한다. 공인인증서 의무사용폐지와 함께 자율보안체계로 전환한 점은 금융사나 핀테크 기업에 더 큰 책임을 요구하고 있다.
정 팀장은 "이전까지 금융사는 폐쇄적인 IT시스템을 운영하면서 효율성과 편리성을 높이는데 치중했다면 지금은 핀테크 기업-금융사가 플랫폼을 통해 서로 상호작용하며 경쟁하는 와해적 혁신 단계에 있다"며 "이들 간 건전한 경쟁을 촉진하는게 감독당국의 역할"이라고 설명했다.
정 팀장에 따르면 금감원의 IT감독 검사 추진 방향은 사고발생 자체보다도 위험 대응을 위한 자율적 방지 노력을 중요시하는 방향으로 바뀌고 있다.
구체적으로 금융당국은 위험 중심 감독체계를 정립하고, 시장과 소통하면서 위험 관리 전문가 지원체계와 소통채널을 마련한다. 또 이사회, 경영진들은 지속적으로 금융보안에 대한 관심과 투자가 이뤄질 수 있도록 IT지배구조 및 리스크 관리 강화에 대해서도 지도할 방침이다.
관련기사
- 블록체인 보안표준 만든다2017.10.26
- "액티브X, 북한관련 해커 악성코드 유포수단중 하나"2017.10.26
- 금융보안원, 4차혁명 시대 핀테크 업무 지원 확대2017.10.26
- 금융보안원, 핀테크 보안 전문기관 선언2017.10.26
이어 금융사들의 IT실태에 대해 계량평가하는 등 방법으로 IT리스크에 대한 상시감시를 강화하며 금융사에 시스템을 납품하거나 유지관리를 맡은 외주업체에 대한 위험요소 점검, 재해복구훈련 등을 진행할 계획이다.
정 팀장은 "감독당국이 어떤 규제를 만들어서 보안 사고를 막을 수 있다는 방침은 한계에 왔다"며 "금융사와 보안회사, 유관기관 등이 자기 역할을 충실히 해서 대응할 수 있도록 해야한다고 생각한다"고 강조했다.
