하반기 금융보안 키워드로 자율·클라우드 주목하는 이유

올해 하반기 금융보안 키워드는 크게 자율보안과 클라우드 보안으로 요약될 것으로 전망된다.

지난해 초 금융당국은 사전규제에서 사후감사를 강화하는 방식으로 규제 패러다임을 전환하겠다고 밝혔다. 이에 따라 공인인증서 의무사용규정이 폐지되고, 금융위원회, 금융감독원이 운영해 온 보안성 사전심의, 인증방법평가위원회 등이 사라졌다.

지난달 30일 개정된 전자금융감독규정은 인터넷뱅킹, 모바일뱅킹을 통한 자금이체시 보안카드나 일회용비밀번호(OTP)를 의무 사용 해야한다는 규정도 없앴다.

최근에는 금융위가 금융권의 클라우드 도입을 활성화하기 위한 전자금융감독규정 개정안을 발표하기도 했다. 오는 9월 의결예정인 개정안은 금융사가 자체적으로 중요도가 낮다고 판단한 정보에 대해서는 국내에 서버가 없어도 클라우드 서비스를 활용할 수 있도록 했다.

이 같은 규제 변화에 따라 금융사들은 이전보다 유연하게 보안정책을 적용할 수 있게 됐지만 그만큼 사고가 났을 때 더 많은 책임을 지게 됐다.

금융보안포럼 총회에서는 올해 하반기 보안 이슈로 규제 패러다임 변화에 따른 자율보안체계 적립, 클라우드 보안 도입방안에 대한 내용이 다뤄졌다.

21일 서울 마포구 서울가든호텔에서 개최된 금융보안포럼 총회에서는 자율보안체계, 금융권 클라우드 도입에 대비한 대응방안에 대한 주제발표가 이뤄졌다.

중앙대 산업보안학과 김정덕 교수는 규제 패러다임이 변하고 있는 시기, 금융사가 자율적으로 보안체계를 구축하기 위한 과제로 '사이버 레질리언스', '자율적 거버넌스'를 마련해야한다고 강조했다.

레질리언스는 회복력, 탄력성을 말하는 것으로 금융사에 사이버 공격이 발생했을 때 빠르고, 피해를 최소화하는 방법으로 대응하는 것을 말한다.

김 교수는 컴플라이언스(금융규제)에 따라 보안대책을 마련하는 대신 위험을 기반으로 의사결정을 해야한다고 말했다. 이어서 단순한 IT인프라 보안에서 벗어나 기업 경영성과를 지원할 수 있는 정보보호전략을 수립해야한다고 강조했다. 정보가 흐르는 방식을 분석하고, 기술 외에도 사람에 대한 관리를 핵심으로 하는 접근방법이 필요하다고 설명했다. 사이버 레질리언스 역량을 높이기 위해 신속한 탐지, 대응전략을 세우고 이에 대한 투자가 이뤄지도록 하는 작업도 중요하다고 그는 덧붙였다.

정보보호 거버넌스는 정보보호 활동이 보안담당 부서가 수행하는 지원업무에 그치지 않고, 현업 부서와 연계된 전사적 보안을 실현하는 것을 말한다. 이를 위해 김 교수는 "기업 내 최고정보보호책임자(CISO)나 개인정보보호책임자(CPO)가 최고경영층과 보안관리자들 사이에 일종의 간사 역할을 할 수 있어야 한다"고 설명했다.

하반기에 부상할 또 다른 키워드는 금융사 클라우드 도입에 따른 보안문제를 해결하는 일이다.

안랩 서비스 사업부 방인구 상무는 "보안관리 영역, 도입 솔루션 및 서비스, 보안투자 면에서 변화가 필요하다"는 의견을 밝혔다.

방 상무에 따르면 클라우드 서비스에 대한 보안 위협은 영역별로 크게 5가지로 분류된다. 가상화 영역, 스토리지, 네트워크, 플랫폼, 소프트웨어에 대한 보안이 그것이다.

클라우드 서비스는 한번 취약점을 통해 뚫리게 되면 한 개 기업이 공격을 당하는 것에 비해 훨씬 심각한 피해를 입힐 수 있다는 우려가 나온다.

방 상무는 아마존웹서비스(AWS)의 경우 퍼블릭 클라우드와 관련한 보안 책임소재를 클라우드 서비스 사업자와 사용 기업 사이에 나눠서 맡고 있다고 설명했다. AWS 사용 기업이 고객데이터, 각종 플랫폼이나 애플리케이션, OS, 네트워크, 방화벽 등에 대해 기본적으로 관리를 해야하는 책임이 있다는 것이다. 대신 AWS는 자사에서 제공하는 기본서비스(컴퓨팅, 스토리지, 데이터베이스, 네트워크)와 계정관리 등에 대한 책임을 진다.

도입 솔루션과 서비스에도 변화가 필요하다. 과거 기업 내 자체 구축한 서버에 대한 원격보안관제는 장비 설치비에서 유지보수비까지 비용이 들었지만 지금은 별도의 소프트웨어, 하드웨어를 설치하지 않고서도 AWS를 활용한 원격관제가 가능하다.