[뉴스토마토 윤석진기자] “24시간 365일 국민의 재산을 지키는 기관이 있다. 바로 금융보안원이다. 금융보안원은 전쟁터와 같은 사이버 공간에서 누구나 안심하고 전자금융거래를 할 수 있도록 불철주야 노력하고 있다.” 허창언 금융보안원 원장은 핀테크를 중심으로 재편되고 있는 금융환경에서 ‘보안 주치의’를 자처했다. 날로 다양해지는 해커들의 공격으로부터 국민의 재산과 정보를 지키는 보호막이 되겠다는 것이다. 지난해 12월 금융보안원 2대 수장이 된 허창언 원장은 이러한 사명을 완수하기 위해 신뢰와 전문성, 융합을 강조하며 보안 기능을 끌어올렸다. 빅데이터 전문기관으로서 개인 정보가 오용되거나 새나가는 것을 막기 위한 준비 작업도 한창이다.
-기본 역할은 기관 이름 그대로 보안 업무일 텐데, 해킹 위협에 어떻게 대처하고 있는지 설명해달라.
금융보안원은 국민들이 안심하고 금융거래를 할 수 있도록 해킹 위협에 대비하기 위해 통합보안관제를 운영한다. 여기서는 해킹 위협에 대해 탐지, 분석, 대응할 수 있도록 24시간 365일 모니터링을 이어가고 있다. 금융권을 대상으로 하는 악성코드가 유포되는 등 위협이 탐지되거나 공격이 발생할 경우 우린 먼저 공격 방식 및 악성코드를 분석하고, 그 분석 결과를 금융회사에 제공해 실제 피해가 발생되었는지 확인한다. 악성코드 감염 등이 발생하면 현장 인력이 해당 기업으로 출동해 공격에 사용된 악성코드 정보와 C&C 정보, 공격 방식 등을 금융회사에 신속히 전파해 주고 피해가 확산되지 않도록 조치해 준다. 사이버 공격 위협을 먼저 포착해서 경찰청, 검찰청 등 유관기관과 긴밀히 연계하는 등 유관기관과의 긴밀한 공조체계도 갖추고 있다.
◇허창언(오른쪽)금융보안원장과 김수남 검찰총장이 5월31일 오후 서울 서초구 대검찰청 운주당에서 열
린 대검찰청과 금융보안원의 ‘사이버범죄 수사 및 금융권 침해사고 대응 역량 강화’를 위한 업무협약(MO
U)에 참석해 기념 촬영을 하고 있다. 사진/뉴시스
-금융권 빅데이터 전문기관으로 선정됐다. 앞으로 어떤 역할을 수행하는지.
금융보안원은 '금융분야 개인정보 비식별 조치 지원 전문기관'으로서 크게 5가지 역할을 수행하게 된다. 먼저 금융회사 등에서 개인정보에 대한 비식별 조치 수행 시 참고할 수 있도록 '금융권 비식별 조치 이행 권고안'을 제시하는 역할을 맡았다. 내 정보가 인터넷 상에 너덜너덜하게 돌아다니면 누가 좋아하겠나. 우린 개인정보를 누구인지 식별이 불가능하도록 해 영업에 활용할 수 있도록 기업을 지원한다. 또 금융회사 등에서 비식별 조치 적정성을 평가할 때 전문가의 추천을 받을 수 있도록 평가단 풀도 구성했다. 금융회사 등이 타 사업자의 정보를 결합해 활용하고자 하는 경우 이들의 정보를 결합해 주는 결합 업무도 우리 몫이다. 가령, KB금융지주와 신한카드가 제휴를 맺고 정보를 결합하겠다고 하면 우린 중간에서 결합 업무를 대신 해줄 예정이다. 현재 정보집합물 결합을 위한 시스템 구축을 완료해 놓은 상태다. 비식별 조치 정보에 대한 사후관리가 되고 있는지 점검해 보는 일도 진행한다. 감독 당국이 아닌 만큼, 직접 제재를 가하기 보다 적발 내용을 정부가 활용할 수 있도록 지원해 주는 식이다. 끝으로 전문 인력이 부족한 중소금융회사와 핀테크 기업 등에 대해 비식별 조치 기술을 지원하는 일도 한다. 이런 지원 업무를 알리고자 금융회사 등을 대상으로 비식별 조치 기법 및 비식별 빅데이터 활용 방안 등에 대한 교육을 금융보안 교육센터에서 9월 중에 실시하고, 추후 관련 교육을 지속적으로 제공할 방침이다.
-생체인증이 편리성과 보안성 덕분에 확대되고 있는 추세다. 그러나 정보 유출 시 돌이킬 수 없다는 특성 탓에 여전히 보안 여부가 화두인데. 생체인증 보안과 관련한 금융보안원의 역할은.
생체인증 업체는 서비스를 만들기 전에 금융보안원에서 보안성 테스트를 거쳐야 한다. 금융 서비스뿐 아니라 다른 모든 전자 서비스도 마찬가지다. 우리가 보인 인증서에 도장을 찍어 줘야 정부의 인정을 받을 수 있다. 그런데 보안성 테스트는 마지막 딱 한 번만 시행하지 않고, 서비스 개발 초기 단계와 중간단계까지 총 3단계를 거친다. 프로그램을 다 만들었는데 보안 문제가 발견되면 낭패일 수 밖에 없기 때문이다. 처음 기술개발 단계에서 컨설팅을 해준 이후 중간 단계에 진입하면 그 때 한 번 더 보안성 검토를 해준다. 마무리 단계에서 최종 테스트를 실시하고 문제가 없으면 도장을 찍어준다. 중간중간 금융 상담을 통해 크라우드펀딩 제도와 같이 자금을 조달할 수 있는 방법도 조언해 준다.
-일을 하다 보면 아쉬운 것도 있을 것 같다. 나날이 교묘해지는 해커의 공격에 맞서 금융보안이 강화되려면 대내외적으로 어떤 노력이 있어야 한다고 생각하나.
우리나라의 금융보안은 금융당국부터 금융회사, 금융보안원, 협력체, 금융이용자까지 긴 사슬로 연결돼 있다. 모든 구성원들의 노력이 필요하다는 말이다. 우선 금융당국은 혁신 친화적인 규제완화를 추진하면서, 신기술이 보안을 위협하지 않도록 금융회사의 자율보안을 독려해야 한다고 생각한다. 또 금융회사는 보안을 비용이 아닌 안전한 금융 서비스를 제공하기 위한 투자로 인식해야 한다. 금융보안 문제를 IT부서나 정보보호 부서만의 책임이 아니라 전사적인 과제로 바라보는 것도 필수다. 우리는 금융보안의 주치의로서 날로 고도화되고 지능화되는 금융보안 위협에 맞서 금융회사 스스로가 보안을 당화해 나갈 수 있도록 지원을 아끼지 않을 방침이다.
◇허창언 금융보안원 원장이 기관 로고 옆에서 포즈를 취하고 있다. 사진/뉴스토마토
-화이트해커를 양성하고 금융보안 교육을 확대하는 등 금융보안원 밖에서도 전문 인력을 키우려는 모습이 눈에 띈다. 어떤 점을 강조하는가.
우리는 교육과정의 실효성 제고, 수요자 중심의 강의, 강사진의 전문성 등 세가지를 추구한다. 먼저 교육과정의 실효성을 높이기 위해 교육 커리큘럼을 기획할 때 금융보안교육이 금융회사의 보안수준을 높이는데 도움이 될 수 있도록 과정을 구성하고 있다. 이를 위해 올해 교육생 40명이 동시에 훈련이 가능하도록 전용망을 구축했다. 실 사례 기반으로 구성된 훈련 시나리오를 통해 교육생이 실제 사고 현장을 경험하고 이를 직접 학습할 수 있게 된 것이다. 교육과정의 만족도를 높이고자 수요자 중심의 강의도 강조하고 있다. 그 일환으로 금융회사의 교육 담당자들과 보안담당자를 만나 간담회는 자주 열고 의견을 수시로 수렴하는 중이다. 강사진의 전문성을 높이기 위해 최근 현안과 동향을 생생하게 전해들을 수 있도록 내부 전문가를 비롯해 외부의 금융보안 전문가를 강사로 초청함으로써 현장 및 사례 중심의 교육도 실시하고 있다.
-다양한 기관이 모여 지금의 금융보안원이 된 것으로 알고 있다. 조직 통합이 관건일 듯한데, 이와 관련된 경영 철학이 있다면.
금융보안원은 한 지붕 아래 세 가족이 모인 집단이다. 금융결제원, 금융보안연구원, 코스콤 등 3개 기관 출신들로 구성돼있다. 수십 년간 다른 곳에서 근무한 직원들을 융합해서 제 기능을 발휘하게 하는 것이 중요하다. 원장 임기 시작 때부터 통합을 제일 미션으로 삼은 것도 이 때문이다. 다행히 나는 한 지붕 다섯 가족으로도 불리는 금융감독원에서 오랜 기간 일해온 경험이 있어 다양한 출신 배경의 사람들과 호흡을 함께한 전력이 있다. 그러나 방심은 금물이다. 빠른 시간 안에 조직 통합을 이루려면 전략이 필요하다. 그러한 고민의 결과물로 나온 것이 모든 업무수행 인력을 다 섞어 놓은 것이다. 각기 다른 기관 출신 사람들끼리 하나의 팀으로 뭉쳐서 평상시부터 서로 소통하라는 취지다. 고참 직원이 신입 직원을 돌봐주면서 노하우를 전수해 주는 ‘멘토링’도 진행 중이다. 최고경영자와 직접 소통하는 채널인 ‘동고동락’ 프로그램도 있다. 익명성을 보장해주면서 수시로 이메일을 주고받고 있다. 온라인뿐 아니라 나부터 직원들과 소통하자는 의미로 전 직원과 만나서 한 번 이상 밥을 먹었다. 특히 보안평가부 직원들 50여명은 다 현장에 나가 있어서 직접 찾아가서 만났다.
윤석진 기자 ddagu@etomato.com
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지