“금감원, 금융 및 기업, 학계 간 '금융 사고 정보 공유 창구’ 필요하다”
특히 금융감독원을 비롯해 금융 기관 및 보안 기업들은 사고가 터진 후, 쉬쉬하며 사고를 무마시키거나 뒷북치기 식의 대응을 하는 경우가 대부분이라는 지적을 받아왔다. 이에 "금융감독원, 보안 업체, 경찰청, 금융기관이 함께 정보를 공유하고 대응함으로써 사고를 최소화하고 사전 예방할 수 있는 공동 창구가 마련돼야 한다"는 목소리가 높아지고 있다.
이러한 목소리는 10일 금융보안연구원 주최로 열린 제1회 금융 정보보호 컨퍼런스의 패널 토의에서도 쏟아졌다. 금융감독원 김인석 부국장은 "대형 금융 보안사고 발생 시 빠른 시간 내 대응을 했다고 보며, 앞으로 사고에 대한 사실(정보)이 신속히 보고돼 종합적인 분석을 하고 대응을 최대한 빠르게 할 수 있는 체계적인 정보 전달 창구를 운영하고자 한다"고 밝혔다. 금융기관들이 문제 발생 즉시 보고를 하고 금융보안연구원, 학교, 보안 기업 등에서 사고 분석 및 대응을 보다 용이하게 할 수 있는 제대로 된 대응 체계를 구축한다는 것이다.
또한 김인석 부국장은 "최근 대학에서는 전자금융 취약점에 대해 분석, 발표하는 게 필수 과제처럼 이뤄지고 있으며 전 세계적으로 금융보안 사고가 날 때마다 언론, 학교 등에서 경쟁적으로 발표하는 곳은 전 세계를 통틀어 우리나라 밖에 없다"며 "보안 사고에 대한 대안도 없는 상태에서 내부적인 문제가 전 세계에 발표되는 것은 지양돼야 한다"고 말했다.
취약점 연구 결과에 대한 공유도 안돼
한국CISSP협회 이성권 회장도 앞으로 대학, 연구기관, 보안 업체 간 보안 사고에 대해 사전 대응 할 수 있는 보안 협의체 구성이 필요하다고 주장했다. 이 회장은 "실제 기존에는 보안 사고가 발생한 다음 사후 대책만 있었으나 이 같은 사후 대책으로 결국 가장 큰 피해를 보는 것은 보안 업체"라며 "보안업체들은 사고가 날 때마다 급박하게 대처하기 위한 새로운 솔루션을 출시하다 보면 검증기간을 적절히 밟지 못함으로써 시장에서 정당한 대우를 받기 힘들어 보안업체들 입장에서는 사전 예방 체계 마련이 절실한 상황"이라고 설명했다.
또한 고려대, 성균관대 등 5개 대학을 포함한 대학정보통신연구센터(ITRC)에서 현재 보안 분야 연구를 하고 있지만 실제 연구 결과에 대한 공유까지 이뤄지지 않는 것으로 알려진다.
한국정보보호진흥원 이재일 단장은 "보안 토큰, OTP 등 금융 보안을 위한 솔루션 도입도 필요하지만 사전에 보안 취약성을 탐지하기 위한 심도 있는 노력이 필요하다"고 말했다. 이를 위한 방안으로 ▲전문기관의 사고 신고 창구의 활성화 ▲사전 보안 취약성을 전달할 수 있는 ITRC, 보안업체 등과 금보연 등 보안 대응 기관 및 정보 정책기관 간 보안 협의체 구성 ▲관련 분야 개발자 대상 교육 프로그램 개설 및 워크숍 개최 등을 꼽았다.
'전자금융 보안 취약점 공유 방안'을 주제로 열린 이날 패널 토의는 순천향대 염흥렬 교수(정보통신부 정보보호PM)의 사회로 금융감독원 김인석 부국장, 한국정보보호진흥원 이재일 단장, 전남대 시스템보안연구센터 노봉남 센터장, 한국CISSP협회 이성권 회장이 참여한 가운데 진행됐다.
김정은 기자
jekim@itdaily.kr