내달 '금융회사 경영자 위한 정보보안 경영가이드' 출간
-
365일 24시간 연중무휴로 국내 금융 보안을 책임지는 전문기관이 있다. 올해 출범 2년차인 금융보안원이 그 주인공이다. 금융보안원은 지난 2015년 4월 금융결제원·코스콤의 금융정보공유분석센터와 금융보안연구원이 한데 합쳐져 금융권에 대한 해킹 등 사이버 위협을 포착하고 대응하는 역할을 하고 있다. 가이드라인을 마련해 금융회사를 대상으로 교육을 진행하며 홍채인증 등 금융서비스를 도입할 때 보안성 테스트를 담당하고 있다. 허창언 원장은 “최근에는 금융권에 부는 빅데이터 열풍속에서 ‘개인정보 비식별 조치 지원 전문기관’으로 지정돼 금융사의 빅데이터 활용도 돕고 있다”고 말했다. 다음은 금융보안원장과의 1문1답.
핀테크의 핵심인 생체인증 등 비대면 실명확인 보안성 테스트를 한다고 들었다
-금융회사들은 모바일 뱅킹과 간편결제 과정에서 정맥, 지문, 홍채 등 비대면 실명 인증을 활용하고 있다. 비대면 실명 인증은 영상통화나 생체 정보를 바탕으로 개인을 식별해내는 것을 말한다. 금융보안원은 금융회사 보안 조력자로 비대면 실명 확인 시스템 등 서비스를 도입할 때 보안성 테스트를 통해 인증에 문제가 없는지 확인한다. 이를테면 금융회사가 생체인증과 신분증 사본을 제출하는 비대면 실명확인 적용방안을 활용키로 했다면 모바일 앱을 통해 보안 관련 테스트를 한다. 고객이 신분증 사본을 적용한다면 신분증 사진이 함부로 노출이 되는지, 암호화되어 서버로 넘어가는지 여부 등을 체크하는 것이다.
올 하반기 가장 큰 보안 이슈는 무엇인가
-개인정보 비식별 조치와 금융회사의 클라우드 서비스 이용 허용을 꼽을 수 있다. 누군지 알 수 없도록 가공한 비식별 개인정보를 금융회사가 당사자의 사전 동의를 받지 않고 자유롭게 활용하는 길이 열리면서 새로운 금융상품이 나올 것이란 기대가 모아지고 있다. 금융보안원은 지난 8월 말 ‘금융권 개인정보 비식별 조치 지원 전문기관’으로 지정돼 금융회사에 가이드라인제공, 정보결합, 교육 및 컨설팅 등 안전한 빅데이터 활용을 돕고 있다. 고객정보 처리와 무관한 전산 시스템의 경우, 금융회사가 클라우드를 자율적으로 이용할 수 있게 돼 가이드라인 등을 통해 방향성을 제시하고 있다.
하반기에 나오는 정보 보안 관련 가이드라인이 있나
-내달에 ‘금융회사 경영자를 위한 정보보안 경영가이드’를 출간할 예정이다. 경영진의 자율적인 리더십에 따라 보안 관련 리스크를 대비하는 정도에 차이가 있다. 금융보안이 전사적 경영 리스크로 인지되어야 한다는 취지에서 경영진이 알아야할 정보보안 원칙, CISO에게 지시해야 할 사안 등의 내용을 담아냈다.
올해 금융보안원에서 달성한 성과는 무엇이라고 생각하나?
-주요한 성과를 꼽자면 우선 ‘금융보안 파수꾼’으로서 금융권 전반의 사이버공격 대응 수준을 높였다는 점이다. 빅데이터 분석 기법을 활용한 차세대 통합보안관제 시스템과 금융권 대상 악성코드 분석 시스템을 구축해 침해시도 및 악성코드 공격 등 사이버 위협으로부터 24시간 365일 금융권을 보호하고 있다. 지난 2월 금융회사 협력사 코드서명 인증서(공인인증서 정품 확인서) 유출 사고를 신속히 대처한 게 그 예다. 금융회사의 공인인증서 보안을 책임지는 협력업체의 코드서명 인증서가 도용된 것을 발견해 해당 업체에 코드서명 인증서 폐기를 요구했다. 이와 더불어 국가정보원에 코드서명 탈취 사실을 알리고 검찰 수사를 의뢰했다. 수사 결과 북한 해킹조직의 소행인 것으로 드러났다. 당시 활약한 금융보안원 직원은 사이버테러를 막는데 기여한 공로를 인정받아 올해 행정자치부에서 주최하는 연말 시상식에서 ‘장관상’ 수상자 명단에 이름을 올리게 됐다.
-
금융회사 개인정보보호 정책에 어떤 변화가 있어야 한다고 보나
-금융당국은 자율보안 체계의 성공적인 안착이 금융회사 경영진의 역할 강화와 같은 리더십에 달려있음을 인식하고 정책적 지원을 검토하고 추진해야 한다. 보안사고 발생 시 CISO(정보보호최고책임자)가 희생양이 되는 관행을 개선하고, 최고경영자가 보다 강한 책임을 지도록 규제해야 한다. 아울러 CISO 임기 보장, 실질적 권한 부여 등 CISO가 소신을 가지고 일할 수 있는 여건을 조성해 줘야 한다. 경영진에 대한 보안 교육이 형식적이지 않도록 개선될 필요가 있으며, 경영진에 의해 자율보안체계가 자리 잡은 모범 금융회사에 대해서는 다양한 인센티브를 제공하는 등 촉진 정책 등도 필요하다고 본다.
금융보안에 대해 금융회사만이 아닌 금융이용자에게 당부하고 싶은 말씀이 있다면?
-정책을 담당하는 금융당국, 전자금융서비스를 제공하는 금융회사, 금융보안 전문기관, 금융소비자들은 긴 ‘사슬’로 연결돼 있다. 사슬의 연결고리 중 한 부분이 취약해지면 피해를 야기할 수 있다는 것이다. 따라서 금융이용자도 금융보안에 책임감을 가지고 보안 수칙을 습관화할 필요가 있다. 신뢰할 수 없는 웹사이트는 방문하지 않기, 출처가 불분명한 이메일은 열람하지 않기, 금융거래 시에는 보안설정이 없는 무선랜(Wi-Fi) 끄기, 백신프로그램과 패스워드를 주기적으로 업데이트하기 등이 필수다.
앞으로의 계획은
-올해 비식별 조치 지원 전문기관’으로 지정된만큼 금융회사의 빅데이터 활용을 돕는 ‘금융보안 혁신 파트너’가 되고 싶다. 데이터간의 유의미한 상관관계를 분석하고 활용한다면 그 잠재적 활용 가능성이 무궁무진하다.
<프로필>
허창언 금융보안원장은 1959년 제주 출생으로 제주 제일고와 서울대 법학과를 졸업했다. 1987년 한국은행에 입행, 99년 이후 금융감독원 팀장, 금융감독원 법무실장, 금융감독원 공보실국장, 금융감독원 뉴욕사무소국장, 금융감독원 보험감독국장, 금융감독원 보험 담당 부원장보를 지냈다.
