“IT혁신을 하면서 보안위협을 줄이는 것은 쉽지 않은 일입니다. IT정보 대책에 따라 단편적인 대응을 하고 보안체계를 갖췄지만 전체적인 IT관점에서 접근하는 것이 중요합니다.”
최근 한국은행에서 열린 ‘금융부문 IT혁신과 정보보호의 균형적 접근 전략’ 세미나에 참석한 조용찬 기업은행 부행장의 말이다.
메인프레임 기반의 정보화 구현, 상품 팩토리 중심의 차세대시스템을 넘어 한국 금융IT는 3.0 시대를 맞았다.
21일 금융IT업계에 따르면 금융IT 3.0시대의 고민은 증가하는 보안 위협이다. 혁신, 편의성, 위협 방어의 세 마리 토끼를 잡아야 하는 금융권은 갈팡질팡한다.
보안위협책임자(CISO) 제도를 도입했지만 여전히 불만의 목소리가 높다. 각종 보안 솔루션을 깔아도 불안함은 해소되지 못했다. 오히려 IT시스템만 더 복잡해졌다. 보안시스템과 IT시스템은 별도로 떨어뜨려 생각할 수 없지만 긴밀한 협조체계를 통한 IT전략 마련도 어렵다는 지적이다.
금융기관 IT 담당자들은 보안위협도 IT 전사 관점에서 고려해야 한다고 강조한다. 조 부행장은 “금융보안은 전사 아키텍처(EA) 관리 체계 아래에서 함께 고민하고 구축하는 것이 유익할 것”이라고 설명했다.
■진화하는 위협…누더기 시스템
금융거래를 대상으로 한 해킹 수법은 꾸준히 진화했다. 파밍에 대한 위협이 부각된 후 얼마 지나지 않아 최근에는 ‘메모리해킹’ 이 또 다시 등장했다.
파밍 방어 방법에 대한 고민이 채 끝나기도 전에 금융기관 IT 담당자는 또다시 메모리 해킹 대응 방안을 짜내야 한다.
메모리해킹은 파밍이 위성사이트로 접속을 유도하는 것과 달리 정상정인 인터넷뱅킹 거래를 이용해도 메모리상의 데이터를 절취, 변조하는 수법으로 타행으로 계좌 이체를 시켰다.
신종 해킹은 위협이 알려지지 않은 상태에서는 단기간에 큰 피해가 발생한다. 경찰청에 따르면 메모리 해킹으로 지난달 초 3일에 걸쳐 22건의 해킹, 5천만원의 피해가 발생하는 등 짧은 시간에 피해가 광범위하게 확산됐다.
금융당국은 다양한 보안 대책을 내놓고 있지만 금융기관의 고민은 크다. 금융기관 관계자는 “지난2011년 농협 사태 이후 보안투자를 늘렸지만 위협을 100% 막을 수 있는 보안시스템이 있느냐”며 “운에 맡길 뿐”이라고 입을 모은다.
단편적인 보안 관리 체계에 대해서도 어려움을 호소한다. 보안 위협은 시스템 곳곳에 다양하게 산재했지만 사건, 사고가 터지고 신기술이 나올 때마다 보안시스템을 도입하다보니 연계도 어렵고 관리도 되지 않는다.
보안시스템만의 문제가 아니다. 통합적인 IT시스템 관리 관점에서 보안 관리는 또 다른 고민이다. 이 때문에 금융기관은 IT시스템 전략과 연계한 보안을 강조한다.
■해외와 비교 말라, 한국은 다르다
보안 방어 시스템 구축은 우리나라 금융IT 환경에서는 특히 중요하다. 온라인 거래 양상이 해외와 많이 다르기 때문이다. 해외에서는 우리나라처럼 온라인을 이용한 실시간 계좌이체가 활발하지 않다. 상대적으로 사기로 의심되는 금융거래에 대해 대응할 시간이 있고 금융기관의 보안 체계도 단순하다.
이병태 KAIST 교수는 “미국 씨티은행을 살펴보면 온라인을 이용한 1일 평균거래 금액은 1천달러(한화 106만원), 많으면 5만달러(5천310만원)지만 우리나라는 하루에 5억원까지 거래를 할 수 있다”며 “미국의 보안체계라고는 사용자이름과 암호 정도”라고 설명했다.
이 교수는 “미국의 온라인 거래가 수표 거래 과정과 유사한 형태이기 때문”이라고 덧붙였다. 반면 우리나라는 편리하게 온라인 거래를 할 수 있는 대신 각종 보안 소프트웨어를 설치한다.
이 교수는 “보안은 균형”이라며 “보안 강화에 따라 소비자 권익을 잃을 수 있는데 소비자가 지불하는 간접비용과 비교해 균형이 너무 없다”고 지적했다.
이에 대해 금융기관 담당자들은 현재 편리함에 익숙해진 금융거래자들에게 보안을 고려해 온라인 실시간 거래 등을 하지 말라고 하기는 어렵다고 강조한다.
■균형이 중요…해답은 있나
금융기관 보안시스템 구축은 점차 힘들어지는데 대응해야 할 금융환경은 빠르게 바뀌었다. SNS, 모바일 환경의 확대로 IT인프라를 활용한 금융서비스, 금융거래 형태가 다양해졌다.
이에 대해 조 부행장 역시 균형을 강조했다. 조 부행장은 “편리성 위주로 IT 기술만으로 금융위협을 방어하는 것은 한계가 있다”며 “결국 땜질식으로 보안시스템을 구축할 수 밖에 없는데 편의성과 IT 균형 부분을 검토하는 논의들이 있었으면 한다”고 말했다.
급하게 도입해 훗날 시대에 적응하지 못한 보안 방어 사례로는 금융권 보안카드가 등장했다. 인터넷뱅킹 초기 보안위협을 막을 수 있는 수단으로 등장한 것이 금융보안카드다. 35개의 일련번호가 적인 4자리 숫자 적힌 보안카드를 발급하고 은행의 요구에 맞춰 보안카드의 숫자를 입력하는 방식이다.
보안카드는 플라스틱 재질로 저렴한 비용을 장점으로 내세웠지만 시대의 흐름에 적응하지 못했다. 보안카드에 이어 곧 일회용 비밀번호 생성기(OTP)가 나왔지만 값비싼 비용으로 우리나라 금융기관에서는 10년이 지난 현재까지도 확산이 요원하다.
관련기사
- 오라클, 보안강화한 빅데이터어플라이언스 발표2013.10.21
- 시큐브, 클라우드-모바일 보안 사업 강화2013.10.21
- 웹케시, 개인금융·CMS 결합한 그룹웨어 선봬2013.10.21
- 전자금융사기, 피해자 구제책 마련돼야2013.10.21
조 부행장은 “싱가포르에서는 전 은행이 일회용 비밀번호 생성기(OTP)를 사용하는데 메모리 해킹 등을 막을 수 있다”며 편의성과 보안 사이에서 심도깊은 논의를 통한 IT 균형을 강조했다.
달라지는 IT환경과 보안의 연계성에 대해서는 EA를 구현할 때 종래의 BA(업무 아키텍처), AA(애플리케이션 아키텍처), DA(정보 아키텍처), TA(기술 아키텍처) 외에도 SA(보안 아키텍처)의 필요성이 대두됐다. 전사적인 IT환경을 고려할 때 균형을 맞출 수 있는 보안요소를 넣어야 한다는 지적이다.