[디지털데일리 이유지기자] 사상최악의 금융 전산망 보안사고로 역사에 기록될 농협 전산망 장애를 계기로 현재 금융보안 문제점과 대책을 모색하기 위한 전문가 토론의 장이 마련됐다.
임영호 국회의원(자유선진당)과 곽창규 금융보안포럼 회장(금융보안연구원장)은 17일 국회 의원회관에서 ‘우리나라 금융보안, 이대로 좋은가?’를 주제로 금융보안 정책토론회를 개최했다.
이날 열린 전문가 토론회에는 임종인 고려대 교수(정보보호대학원장)와 구태언 김앤장법률사무소 변호사, 최병석 삼성화재 상무, 표세진 비이소프트이엔씨 부회장, 권한용 금융감독원 부국장이 참석해, 금융보안 수준 제고 방안을 제시했다. 내부통제 및 보안 전문인력 양성의 중요성이 특히 강조됐다.
토론에 앞서 기조발제를 맡은 임종인 교수는 최근 발생한 농협 전산장애 원인을 “내부통제의 실패”라고 규정하고, “아웃소싱업체에서 노트북을 외부로 반출해 인터넷을 연결하고 동영상을 내려 받는 등 비상식적인 일을 했다고 하더라도 농협의 관리적 보안에 기본 문제가 있었기 때문에 일차적인 책임은 농협에 있다”고 지적했다.
임 교수는 “농협 전산망 장애 원인이 비정상적인 IT보안 구조에 있다. 수백명의 IT인력 중 보안인력은 11명이고, 보안예산도 작년에 15억원정도로 적은 상태”라며, “금융사들은 보안책임자(CSO)가 부재하거나 있어도 전문성이 부족하고 직급도 낮으며, 보안인력이 턱없이 부족해 보안거버넌스가 취약하다”고 꼬집었다.
그는 이어 “보안투자를 하더라도 결국은 운영과 관리는 사람이 하는 것”이라며, “지금이라도 금융보안 인력을 양성해야 한다”고 강조했다. 특히, 금융보안 분야는 “금융과 보안관련기술, 관리, 법적 지식을 모두 갖춰야 하는 금융보안MBA 과정 등 별도의 육성프로그램이 필요하다”고 제안했다.
금융전산망 보안을 강화하기 위한 방안으로는 개별 금융사, 금융당국, 정부의 공동 노력으로 근본적인 체질 개선과 변화가 필요하다는 점을 강조했다.
임 교수는 “개별 금융기관은 위험관리 차원의 내부통제를 확립해야 한다”며, “이를 위해 금융사 내부통제를 강화하기 위해 외감법(주식회사의외부감사에관한법률)을 미국 SOX(사베인즈옥슬리)법 수준으로 높여 내부통제 강화를 위한 감사 기능과 보안투자를 컴플라이언스 차원에서 접근할 수 있도록 유도해야 한다”는 방안을 제시했다.
또한 “보안인력 확보 외에도 처우를 시급히 개선해 자발적으로 보안인력이 유입되도록 해야 한다”고 덧붙였다.
금융당국의 대응방안으로는 “기반보호시설인 금융전산망을 국가 차원에서 보호하고 사고 발생시 일관적으로 대응할 수 있도록 보안거버넌스를 갖춰야 하며, 기술적으로 금융보안 업무를 수행할 금융보안전담조직과 금융보안 수준 및 신뢰성을 금융소비자들이 확인할 수 있는 공시시스템도 필요하다”고 말했다.
정부 차원에서는 "금융보안인력 양상 지원과 함께 금융 관련 기반시설을 대폭 확충해 취약점 점검 이행 조치를 보다 자주 시행, 점검할 수 있도록 제도를 개선할 필요가 있다"고 말했다.
기조발제 이후 이어진 토론에서는 금융보안 수준 제고에 기여할 수 있는 신뢰할만한 민간 전문업체 육성, 개인정보보호를 위한 최소한 보안장치가 필요하다는 의견도 나왔다.
구태언 변호사는 “임 교수가 제시한 개별 금융사와 금융당국, 정부 차원의 대응방안에 공감한다”고 전제하고, “금융사별로 자체 보안역량을 강화할 필요가 있지만 이를 충분히 갖추기엔 조직이나 인력, 예산 등 장애 요소가 많고, 공격 역량이나 범죄 방식도 계속 첨단화된다는 측면에서 민간 전문업체에게 맡길 수 있도록 육성할 필요성이 있다”는 의견을 덧붙였다.
최병석 삼성화재 상무는 “전문성을 갖춘 보안인력을 육성하기 위해선 금융보안 전문가 자격제도가 필요하며, 조직적 뒷받침이 약한 보안을 보다 체계적으로 강화해야 할 수 있도록 감사 부문과 결합해 책임자를 두고 업무를 강화할 수 있도록 해야 한다”고 말했다.
표세진 부회장은 “웹사이트를 통한 악성코드 감염으로 금융소비자 등 인터넷이용자들의 개인정보 유출이 심각하다”며, “23만개 개인정보를 수집하는 국내 23만개 웹사이트는 개인정보 유출을 막을 수 있도록 키보드 보안 솔루션 등을 통한 최소한의 조치라도 당장 이행돼야 한다”며 개인정보보호 강화 필요성의 시급성을 강조했다.
이 자리에 함께 참석한 권한용 금융감독원 IT감독국 부국장은 “금융보안 제도개선 방안은 6월 말까지 마련할 예정”이라며, “전문가 의견을 참고해 제도 개선에 적극 반영하겠다”고 말했다.
이날 토론에서 사회를 맡은 곽창규 금융보안포럼 회장은 “농협 전산망 사고는 보안투자가 이뤄지지 않는다면 금융사 신뢰 추락을 넘어 존립의 문제로 갈 수 있다는 사실을 여실히 보여줬다”며, “농협 전산망 사고를 계기로 금융보안 인식과 제도를 제대로 점검해 보안수준을 제고시키는 기회로 삼아야 한다”고 강조했다.