금융IT 인터뷰

김영린 금융보안원장 “‘자율규제’·‘핀테크’ 시대, 금융보안 수준 강화 지원”

이유지

- 통합 금융ISAC 수행, 차세대 통합보안관제시스템·FDS 공유시스템 연내 구축 예정

[디지털데일리 이유지기자] “금융보안은 자율규제로 변화하고 있다. 이제는 금융보안을 의무화하거나 강제하지 않고 자율적으로 수행토록 하면서 사후책임은 강화되고 있다. 하지만 아직까지 금융권의 보안수준은 시장에만 맡겨놓기에 부족한 것이 사실이다.”

김영린 초대 금융보안연구원장은 12일 취임 후 첫 기자간담회를 갖고 현재의 금융보안 수준을 이같이 진단하면서 “자율규제로 변화되는 최근 환경에서 금융사들이 거버넌스와 보안강화 체계를 구축할 수 있도록 지원하겠다”고 포부를 밝혔다.

김 원장은 특히 “’핀테크(Fintech)’ 서비스에서 가장 중요한 것은 보안이다. 보안 기술이 산업육성과 연결된다"면서 전자금융거래를 넘어 핀테크 시대에 접어들면서 요구, 강조되는 새로운 금융보안 패러다임을 만들어 나갈 것임을 시사했다.

금융보안원은 금융결제원과 코스콤이 운영해온 정보공유분석센터(ISAC)와 금융보안연구원 등이 독립적으로 수행하던 금융보안 기능을 통합한 금융보안전담기구다. 공식 출범한 지 이제 한 달 남짓이다.

최근 금융보안 사고가 잇따르면서 금융권 전체를 아우르는 통합 보안기관이 필요하다는 인식에 따라 설립이 추진됐지만, 설립과정에서 진통을 겪다 지난달 10일 공식 출범했다.

김 원장은 앞으로 금융보안원이 중점을 두고 추진할 업무로 ▲금융ISAC과 통합보안관제를 비롯해 ▲금융회사 취약점 분석·점검 ▲금융보안 정책 및 연구개발·기술 지원 ▲보안교육 4가지를 꼽았다.

현재 금융보안원은 그동안 금융결제원이 담당해온 은행 대상의 ‘금융ISAC’과 코스콤이 수행해온 ‘증권ISAC’ 업무를 하나의 관제센터에서 운영하고 있다. 앞으로 일원화된 체계에서 전 금융사를 망라해 ISAC을 구축·운영할 수 있도록 차세대 통합보안관제시스템 구축에 돌입한 상태다.

김 원장은 “통합 금융ISAC에서 제공하는 보안관제를 통해 한 기관에서 발생한 침해정보를 다른 금융사에도 신속하게 전파되는 탐지·공유체계가 강화될 것”이라며 “보안 인텔리전스와 빅데이터 분석, 클라우드 개념을 접목한 차세대 통합보안관제시스템을 구축해 명실상부한 금융 통합보안관제와 정보공유를 수행할 수 있을 것”이라고 말했다.

같은 맥락으로 금융보안원은 금융사들이 개별적으로 구축·운영하고 있는 ‘이상거래탐지시스템(FDS) 공유 시스템’ 구축도 추진하고 있다. 현재 진행하고 있는 통합보안관제시스템에 포함시킬지 별도 구축할 지 여부는 결정되지는 않았지만, 연말까지 이 시스템 구축을 완료할 예정이다.

금융ISAC과 FDS 공유시스템으로 금융사들의 침해사고나 이상행위 탐지·분석·대응 능력을 끌어올리겠다는 의지다.

금융보안원은 전 금융사 대상의 취약점 분석 점검 서비스도 확대하는 한편, 금융보안 정책지원이나 연구개발도 활발히 진행할 예정이다. 핀테크 등장과 함께 새롭게 요구되는 생체인증 등 다양한 보안 요소기술 개발을 지원한다는 방침이다.

앞으로 새로운 서비스 도입시 안전성과 보안성에 대한 기술지원도 수행할 계획이다. 금융 보안성 심의가 폐지되면서 사전에 요구되는 안전성 검증 요구에 대응하기 위해서다. 김 원장은 “오는 6월 보안성 심의가 폐지될 예정인데, 이와 관련한 기술지원 방식을 어떻게 운영할 지 금융위원회와 협의해 결정할 것”이라고 설명했다.

금융보안원은 기존의 금융보안 접근방식이 ‘막는다’는 개념에서 출발해 기술적 보안, 이용자단 중심 보안에 집중됐지만 핀테크 시대 보안은 ‘리스크 관리’ 차원으로 시각을 확대해야 한다는 가이드를 내놓은 바 있다. 혁신적인 보안기술을 도입, 활용하되 ISAC 통합보안관제나 FDS를 활용한 인텔리전스 보안, 정책적 보안, 그리고 금융소비자를 보호하기 위한 보험·보상까지 포함돼야 한다는 것이다.

이밖에도 금융보안원은 금융 부문에 특화된 정보보호관리체계(ISMS) 인증인 ‘F-ISMS’ 인증 업무도 시작할 예정이다. 6월 중으로 미래창조과학부에서 인증기관 인가를 받게 될 것으로 예상하고 있다.

금융보안 교육도 전 금융권을 대상으로 확대한다. 또 지난해까지는 주로 CISO(정보보안책임자) 등을 대상으로 교육을 수행했지만 금융사 최고경영자(CEO) 대상의 보안인식 제고, 금융보안 거버넌스 확립 등을 위한 교육과정 신설을 검토 중이다.

이같은 업무를 수행하기 위해 금융보안원은 경영관리본부, 보안관제본부, 보안전략본부 아래 6개 부서와 팀을 운영하고 있다. 교육센터도 운영 중이다. 각 본부장은 세 기관 출신이 각각 담당하고 있지만 구성원들은 화학적 결합을 위해 섞어 배치했다.

물리적 통합은 내년 초 용인 죽전 사옥으로 이전하면서 가능해질 전망이다. 차세대 통합보안관제시스템 역시 새 사옥에 구축된다.

현재 금융보안원 회원사는 182개사다. 은행과 증권·보험·카드사뿐만 아니라 저축은행·PG(지불결제서비스)사까지 포괄해 총 250곳까지 확대될 것으로 김 원장은 전망했다. 코스콤, 금융결제원, 예탁결제원도 금융보안원 회원사다.

김 원장은 “금융권역 전체를 지원하는 금융보안원을 정착시키기 위해 최선을 다하겠다”고 강조했다.

<이유지 기자>yjlee@ddaily.co.kr

이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널