[매스 데이터 시대, ‘제로’ 금융보안]<上> 정부-금융사-고객 ‘부실 3박자’

기술 못따라가는 규제에 시키는 것만 지켜… “예고된 인재”

《 고객 3000만 명의 정보를 다루는 농협의 전산망은 노트북 컴퓨터 한 대로 마비되고 ‘보안 관련 투자는 아끼지 않았다’던 현대캐피탈의 고객정보는 해킹에 의해 술술 샜다. ‘정보기술(IT) 강국’이라는 대한민국 전자금융의 현주소다. 후진국에서도 이런 대규모 사고는 없었다. 전문가들은 ‘예고됐던 인재(人災)’라고 말하는 데 주저하지 않는다. 》
국내의 금융회사는 3300개가 넘고 하루 금융거래 규모는 1경5000억 원에 이른다. 게다가 새로운 해킹 기법은 하루가 멀다 하고 수십 개씩 생겨난다. 대책 하나로 사고를 예방하는 것은 거의 불가능하다는 지적이다.

보안전문가들은 이런 상황에서 금융사고를 예방하려면 정부와 금융회사, 금융소비자가 각자의 영역에서 보안 노력을 기울이는 것이 필수적이라고 강조한다. 하지만 현실은 딴판이다. 정부는 소소한 보안규정을 감독하는 데 바빠 보안의 큰 그림을 그리지 못했고 금융회사는 금융감독규정만 최소한으로 적용하면서 추가 투자에는 소홀했다.

○ 숲은 못 보고 나무만 봤다

전문가들은 정부가 정보보안 수준을 ‘하향평준화’시킨 측면이 있다고 지적했다. 해커들의 공격 기술은 하루가 다르게 발전하는데 금융회사들이 이에 맞서 최신 기술로 대응하는 대신 ‘정부가 시키는 것’만 숙제하듯 뚝딱 해치우고 넘어가도록 순응시켰다는 얘기다. 금융감독원은 전자금융 감독규정을 통해 △사용자 본인임을 인증하는 기술적 방식(공인인증서) △사용자 PC에 설치해야 할 보안프로그램 종류 등을 일일이 규정하고 있다.

실제로 현대캐피탈 정태영 사장은 개인정보 유출사고가 일어나자 “전자금융 감독규정은 잘 지켰다”고 해명했다. 하지만 이는 결국 정부의 감독 규정을 뛰어넘는 수준의 공격에는 국내 금융회사들이 취약하다는 것을 보여준다. 이런 높은 수준의 공격을 막아내기 위해서는 정부가 세세한 규정을 정하기보다는 최소한의 보안 수준만 가이드라인으로 정해주고 세부 규정은 금융회사가 자체적으로 정하는 게 바람직하다고 전문가들은 입을 모았다. 보안컨설턴트 출신인 기술문화연구소 류한석 소장은 “기업들이 보안 투자에 적극 나서기보다 정부의 ‘최소 기준’만 지키고 ‘할 일을 다했다’고 주장하는 것이 국내의 보안 현실”이라며 “정부가 개괄적인 가이드라인을 세우되 보안사고가 발생할 경우 ‘일벌백계’한다는 원칙을 세우면 기업은 두려워 투자를 크게 늘릴 것”이라고 말했다.

○ 더 엄격한 규정, 덜 엄격한 처벌

정부가 세세한 부분까지 감독규정을 지정해 일벌백계할 근거를 스스로 잃고 있다는 지적도 나온다. 실제로 2008년 초에 일어난 전자상거래업체 옥션의 개인정보유출 사건의 경우 1000만 명이 넘는 고객의 정보를 유출시켰지만 옥션은 피해 고객에게 별다른 보상을 하지 않았다. 정부가 암호화 대상을 ‘비밀번호’로 한정해 주민등록번호 유출은 문제 삼기 어려웠기 때문이다. 비밀번호만 암호화해 저장한 현대캐피탈도 전자금융감독 규정상 개인정보 암호화 관련 조항이 없어 처벌하기 어려울 것으로 전망된다.

고려대 정보보호대학원 이동훈 교수는 “한국 금융당국의 보안조치는 사실 외국보다 엄격하지만 소수의 대형 금융회사를 제외하고는 이런 보안조치가 얼마나 중요한지, 다른 보안 시스템에 어떤 영향을 미칠지 따져보지도 않는다”며 “한 군데만 터져도 모든 시스템이 무력화될 정도로 위험한 수준”이라고 말했다. 이에 대해 금감원 관계자는 “규제를 풀었다가 자칫 사고가 잦아지면 전자금융의 신뢰성 자체에 큰 타격을 입는다”며 “최소한의 규제는 반드시 필요하다”고 밝혔다.

크게보기

○ 불신의 악순환

문제는 ‘불신’이다. 정부는 금융회사가 스스로 보안의무를 다하지 않을 것으로 의심하기 때문에 각론까지 정하고, 소비자도 금융회사의 보안 노력을 의심해서 정부의 안전 보증을 요구한다. 게다가 정부와 금융회사는 온라인으로 기업 시스템에 접근하는 소비자를 외부 해커에 이용돼 기업 시스템을 공격하는 ‘좀비PC’로 의심한다. 그래서 갖가지 보안 프로그램을 설치하도록 강제한다. 문제는 이 과정에서 소비자들이 ‘잘못된 습관’에 빠져든다는 데 있다. 예를 들어 지난달에 발생한 디도스(DDoS·분산 서비스 거부) 공격은 사용자들이 파일공유(P2P) 서비스에서 자신의 PC를 좀비PC로 바꾸는 프로그램을 내려받아 설치하면서 발생했다. 웹브라우저는 이런 프로그램이 설치되려고 하면 ‘의심스러운 파일’이라는 경고를 내보내지만 국내 컴퓨터 사용자들은 공인인증서나 각종 보안프로그램도 똑같이 이런 방식으로 설치하기 때문에 의심하지 않았다.

임종인 고려대 정보보호대학원장은 “지금 정부가 정보보안과 관련해 만드는 규정은 대기업엔 너무 약하고 중소기업에는 너무 강하다”며 “이런 각론보다 감독 당국이 직접 과징금을 매기거나 집단소송제를 도입해 기업 상황에 따른 보안 투자를 촉진해야 한다”고 말했다.

○ 부랴부랴 보완 나선 금융회사

금융보안 사고가 연이어 터지자 금융회사들은 뒤늦게 보안 대책 마련에 나섰다. 현대캐피탈은 해킹 사건을 계기로 정보기술(IT) 보안만을 전담하는 ‘IT보안전담팀’을 신설할 계획이라고 18일 밝혔다. ‘IT보안전담팀’은 정보보안팀과 IT실 등 각 국실에 흩어져 있는 보안업무와 인력을 통합 운영하게 된다. 최악의 전산망 마비 사태를 겪은 농협도 이날 보안 강화대책을 발표했다. 이재관 농협중앙회 전무는 “전산망 운영실태를 자체 점검해 내부 시스템 접근권한 등 보안정책을 강화하고 보안관리 전문인력을 늘리겠다”고 말했다. 농협은 IT 연구용역에 보안대책을 포함하고 용역결과를 토대로 보안 대책 관련 예산을 대폭 늘리기로 했다. 이에 앞서 비씨카드는 이날 부서별로 분산된 신용정보관리와 정보보호에 관한 업무를 총괄하는 정보보안실을 국내 금융업계 최초로 신설했다. 정보보안실은 IT 보안, 신용정보 보호 및 관리, 정보보호 모니터링 등을 감독하는 컨트롤타워 역할을 맡는다.

김상훈 기자 sanhkim@donga.com　　
김재영 기자 redfoot@donga.com