[아시아초대석] "금융 자물쇠 달아도 순간의 방심땐 뚫립니다"

김광식 금융보안연구원장

대담=이의철 부국장겸 금융부장

[아시아경제 최일권 기자] "실물경제에서 위험요소가 발견되면 해당 기업이나 산업 등 그 파장이 일부분에 국한됩니다. 하지만 금융은 다릅니다. 위기가 전염되고, 그 영향은 국가경제 전체에 미치게 되죠. 마찬가지로 은행 전산시스템에 문제가 발생해 거래가 정지되면 이는 다른 은행으로 연결되고 금융권 전체로 퍼지게 됩니다. 소위 '결제시스템 리스크'가 발생하는 것입니다. 금융이 영향을 받으면 실물경제 뿐 아니라 다른 나라와 연결된 경제 전반이 도미노처럼 붕괴될 수 있습니다."

김광식 금융보안연구원장은 '금융 보안'이 왜 중요한지를 묻는 기자에게 '등골이 오싹한' 답을 내놨다. 보안의 폐해가 금융에서 극에 달하면 이 같은 사태가 벌어질 수 있다는 충격적인 얘기다.

김 원장의 표현은 그러나 과장된 것은 아니다. 일상생활에서 얼마든지 일어날 수 있는 개연성 있는 일이다. 금융권에서 보안의 영역이 그만큼 중요하다는 의미다. 금융거래수단이 다양해지면서 보안장치를 필요로 하는 수요 역시 증가하고 있기 때문이다.

한때 금융기관의 개인정보 유출이 엄청난 사회적인 이슈로 떠올라 대한민국이 들썩거리기도 했지만 '금융보안'은 일반인들에게 여전히 낯선 영역이다. 소위 '돈 거래'를 하는 모든 금융소비자들이 밀접한 관련을 맺고 있다고 해도 정보유출과 같은 보안사고는 정작 개인과 무관한 일로 치부해버리는 경우가 대부분이다.

김 원장은 이 같은 보안불감증에 심각한 우려를 표명했다.

"결국은 사람입니다. 아무리 해킹 등 보안을 강화한 시스템을 개발한다고 해도 관리자나 고객이 스스로 주의하지 않으면 사고는 발생합니다. 0.01%만 허점을 보여도 공략 대상이 되고, 이는 결국 100%에 영향을 미치게 된다는 점을 명심해야 합니다."

최근 들어 개인정보를 노리는 수법은 더욱 다양화하고 있다. 금융회사, 감독당국 등을 사칭한 보이스 피싱은 이미 옛날 버전이다. 금융정보 탈취를 목적으로 만들어진 허위사이트 접속을 유도하는 새로운 피싱이나 파밍이 기승을 부리고 있다. 지난해 보이스ㆍ메신저 피싱 등 전기통신금융사기 피해건수는 9602건, 피해액으로는 1060억원에 달하는 점이 이 같은 위험성을 대변해준다.

김 원장은 "각종 해킹에 따른 금융소비자의 개인정보 유출의 불안한 심리를 이용하는 등 사회공학적 기법을 통한 융ㆍ복합 범죄가 발생하고 있다"면서 "상대방 컴퓨터에 악성코드를 심은 후 2~3개월 잠복 후 활동하는 신종 수법도 최근 보고된 바 있다"고 언급했다.

이 같은 범죄를 사전에 차단할 수 있는 방법은 없을까. 김 원장은 "열 경찰이 한 도둑을 막기 어렵다는 말이 있다"며 현실적인 어려움을 토로했다.

"미리 해킹 등을 예상해서 방어한다는 것은 힘듭니다. 추적을 해도 해외에 서버가 있으면 사법권이 못 미쳐 수사하기가 어려운 게 현실입니다. 또 기술적 진보가 상당히 빨라 금세 새로운 해킹기법이 등장합니다. 이에 발 빠르게 대응하는 것만이 최선이라고 봅니다."

이와 관련해 금융보안연구원은 OTP통합인증센터를 통해 '휴대폰 본인확인'과 'SMS 인증 서비스'를 추가하는 등 보안 강화 노력을 펼치고 있다.

현재 김 원장이 유심히 지켜보는 분야는 모바일 금융보안이다. 지난해 스마트폰 등 모바일을 통한 자금거래금액은 보급 확산과 금융기관의 투자 확대 등으로 전년대비 무려 68.6% 증가한 91조7000억원에 달했다. 특히 스마트폰을 이용한 전자금융거래 건수와 거래금액은 모바일 전자금융 거래 중 각각 97.7%, 86.9%를 차지할 정도로 절대적이다.

하지만 스마트폰 사용자의 정보 탈취 및 소액결제를 유도하는 악성프로그램이 나타나는 등 각종 금융보안사고도 증가하고 있다.

"우리나라 모바일뱅킹은 세계 어느 나라에도 없는 가장 선진 시스템이라고 자부합니다. 다른 나라에서 금융 이용자가 이처럼 쉽게 접근하기란 힘듭니다. 그러나 편리함만 좇다보면 보안이 취약하기 마련입니다. 신뢰와 안전을 담보하기 위해 보안 강화는 필수입니다."

개인정보보호도 그가 높은 관심을 두는 분야다. 개인정보 암호화와 이에 따른 비용 문제, 보안 강화에 따른 이용의 불편 등이 그를 비롯한 연구원이 해결해야 할 과제다.

"상당히 어려운 문제입니다. 개인정보 수집과 전송, 정보 암호화 적용 범위 등은 여전히 금융보안 분야에서 뜨거운 감자입니다. 금융권 뿐 아니라 협력업체에 대한 보안 등 복잡한 이슈가 많습니다."

이 같은 어려움을 궁극적으로 해결하기 위해 그가 제시한 것이 바로 교육이다. 정보유출 등의 사고가 IT시스템 보다는 관리자의 실수가 대부분이라는 점에서 김 원장은 '교육'에 방점을 찍었다.

그는 영국을 예로 들었다. 1980년대 영국의 가계부채가 많이 증가했을 때 초점에 맞춘 분야가 바로 금융교육이었다는 점이다. 문제를 슬기롭게 풀어갈 수 있는 궁극적인 방법을 알려주는 게 중요하다는 판단에서다.

김 원장은 "지금까지 금융교육이 중요했다면 이제는 금융보안교육이 중요해졌다"고 목소리를 높였다. 그는 "IT를 통해 모든 정보가 집적되고 금융과 뗄 수 없는 관계가 된 만큼 이 분야에 대한 교육은 필수"라고 덧붙였다.

이와 관련해 연구원은 올해 금융기업 임직원 15만 명에 대해 IT교육을 추진하고 있다.

내년부터는 금융기관 뿐 아니라 금융과 간접적으로 관련된 업체에 대해서도 서비스를 제공할 방침이다. 보험설계사를 내년의 주요 교육 대상으로 검토하고 있다.

또 대학생을 대상으로 한 금융보안캠프 행사도 인기를 끌면서 내년부터 확대하기로 했다.

"할일이 정말 많습니다. 교육에 일조하고 싶지만 그렇다고 전면에 나설 생각은 없습니다."

묵묵히 맡은 바 책임을 다하는 그의 태도를 엿볼 수 있었다.

정리=최일권 기자 igchoi@