“이중-삼중 보안체계 안세우면… 제2의 카드사 사태 언제든 발생”

[동아 인포섹 2014-정보보호 콘퍼런스]
금융 범죄예방 전문가 토론
“금감원 감독만으론 역부족… 제3자 보안검사제 도입해야”

26일 서울 중구 전국은행연합회관에서 열린 ‘동아 인포섹 2014-정보보호 콘퍼런스’에서 마이크 트로바토 언스트앤영(EY) 파트너가 ‘글로벌 기업의 사이버보안체계’에 대한 주제 발표를 하고 있다. 박영대 기자 sannae@donga.com

26일 열린 ‘동아 인포섹 2014-정보보호 콘퍼런스’의 개인정보 금융보안 범죄예방 및 대응체계 개선방안에 대한 토론회에서 정보보호 전문가들은 카드회사 정보유출 사태를 계기로 국내 정보보안 수준을 획기적으로 높여야 한다고 입을 모았다. 정보유출 사고가 난 뒤에야 책임자를 문책하고 부랴부랴 임시방편식 대책을 세우기보다 사고를 철저하게 분석해 근본적인 대책을 마련해야 한다는 것이다.

정태명 성균관대 교수(정보통신공학)는 “카드사 정보유출 사태에 대한 수습 과정을 보면 결국 지키지도 않을 대책만 내놓는 등 과거와 별로 다르지 않은 것 같다”며 “지금까지의 사고들이 모두 규정을 지키지 않아 발생한 인재(人災)였다는 점에서 근본적인 대책이 없다면 사고는 언제든 다시 일어날 것”이라고 지적했다.

이날 토론회에서 전문가들은 정보유출 사고를 막기 위안 방안으로 외부 해커에 의한 침입을 막는 데만 치중하고 있는 현재의 정보보안 체계를 개인정보 등 핵심 정보를 담고 있는 데이터베이스에 대한 보안을 강화하는 방향으로 바뀌어야 한다고 강조했다.

정석화 경찰청 사이버안전국 수사실장은 “최근에는 외부 침입 외에 내부 직원이 정보를 빼가는 사례가 늘고 있는 만큼 금융회사나 기업들이 수집한 정보 중 핵심 정보를 분류해 이 정보에 대해서는 이중, 삼중의 보안 체계를 세워야 한다”고 조언했다.

민간 보안전문 회사들이 금융회사나 기업의 정보보안 체계를 점검하도록 하는 ‘제3자 보안검사 제도’가 필요하다는 지적도 나왔다. 전자결제 대행회사인 페이게이트의 이동산 이사는 “현재 금융감독원이 금융회사의 보안규정 준수 여부를 감독하고 있지만 인력 부족 등으로 역부족인 상황”이라며 “민간 보안업체들을 활용해 제3자 검사 체계를 구축하고 그 결과를 금감원이 다시 검사하는 제도적인 보완책이 필요하다”고 말했다.

이에 대해 송현 금감원 IT감독국장은 “현재 사고가 발생하지 않은 금융회사에 대해서도 자체 점검을 하도록 했고, 이 결과 문제가 포착되는 회사는 금감원이 현장조사에 나설 것”이라며 “사고 원인을 철저히 규명해 유사 사례가 재발하지 않도록 제도 보완 대책을 마련하겠다”고 답했다.

부족한 정보보안 전문가를 양성하기 위한 정부와 기업의 대책이 필요하다는 지적도 많았다. 임종인 고려대 정보보호대학원장은 “최근에는 비전문가들도 시중에 유포된 해킹 프로그램을 이용해 웹사이트를 해킹하는 사례가 늘고 있는 만큼 정보보안 인력의 필요성이 높아지고 있다”고 말했다. 정태명 교수는 “정보 보호가 필요한 회사가 최소 40만 개로 추산되는데 각 회사에서 한 명씩만 정보보안 담당자를 고용한다고 해도 전문가 40만 명이 필요하다”며 “일단 기업들이 자체 교육을 통해서라도 보안 담당자 육성에 나서야 한다”고 말했다.

문병기 기자 weappon@donga.com