[스마트클라우드쇼 2014]⑮ '소비자 편리' '자율규제' 금융보안 패러다임이 바뀐다

게시자: 남호준, 2014. 7. 3. 오후 6:44
장우정 기자조지원 인턴기자 | 2014/06/09 11:10:00

 
“지금까지 금융 보안은 공인인증서, 방화벽, 키보드 해킹 방지 프로그램 같은 이른바 ‘보안 3종 세트’를 PC에 깔도록 소비자에게 강요하는 형태였습니다. 앞으로는 소비자 편의를 높이기 위해 기업이 뒷단에서 보안 책임을 지는 형태로 바뀔 것입니다.”
 
지난 5월 30일 ‘금융 보안 패러다임의 전환’이라는 주제로 열린 ‘프리 스마트클라우드쇼’에서 전문가들은 금융 보안의 패러다임 전환이 ‘정부 규제 위주에서 기업 자율 규제로’ ‘소비자가 불편을 감수하는 보안에서 소비자의 결제 편의성을 높이는 보안으로’ 전환할 수밖에 없다는 데 한목소리를 냈다. 다만, 이 과정에서 부수적으로 발생할 수 있는 보안 위협에 어떻게 대처할지에 대해서는 의견이 갈렸다. 프리 스마트클라우드쇼는 오는 9월 서울 신라호텔에서 열리는 ‘스마트클라우드쇼’의 사전 행사다.

이날 행사에는 임종인 고려대 정보보호대학원 원장과 금융당국을 대표해 김윤진 금융감독원 IT·금융정보보호단 부국장, 이상록 금융보안연구원 보안서비스본부장이 참석했다. 금융사와 인터넷기업을 대표해서는 김종현 KB국민은행 정보보호본부 최고정보보안임원(CISO), 김성동 알라딘 웹기획팀장이 각각 연사로 참여했다. 발표에 이어진 패널 토론에서는 전자지급 결제 대행업체 페이게이트 박소영 대표와 보안솔루션 업체 라온시큐어 조한구 이사도 참석해 의견을 나눴다.

◆ “모바일 결제 시 구매 포기율 53%”… 간편 결제 요구 커져

금융위원회와 금융감독원은 지난 5월 20일부터 온라인 카드 결제 때 공인인증서를 의무적으로 사용하는 제도를 폐지하는 내용을 담은 ‘전자금융감독규정 시행세칙’ 개정안을 시행했다. 지난 4월 박근혜 대통령이 “중국 시청자가 한국 드라마 주인공들이 입고 나온 의상과 패션잡화 등을 사기 위해 한국 쇼핑몰에 접속했지만 공인인증서 때문에 구매에 실패했다고 한다”고 지적한 뒤 나온 조치다.

실제로 국내 쇼핑몰의 결제 포기 비율을 심각한 수준이다. 김성동 알라딘 팀장은 “알라딘의 경우 PC 사용자의 22%, 모바일 사용자의 53%가 결제 화면에서 이탈한다”면서 “결제 어려움 때문에 구매 자체를 포기하는 경우가 많다”고 말했다.

임종인 원장은 “최근 해외 직접구매(직구)가 늘어나면서 소비자들이 해외 결제 시스템의 편리함을 알게 된 만큼 국내 결제 시스템의 편의성을 높이는 요구가 거세지고 있다”고 말했다. 그는 “소비자는 결제할 때 편리해지지만, 기업은 보안 사고에 대한 부담이 커질 수 밖에 없을 것”이라고 덧붙였다.

박소영 대표는 “최근 공인인증서 의무 사용은 폐지되었지만, 카드사들이 다양한 결제 인증 방법을 받아주지 않기 때문에 아무런 실효성을 거두지 못하고 있다”면서 “금융당국이 추가로 규제 완화에 나서야 한다”고 말했다.

◆ 금감원 “기본 원칙만 제시하겠다”… 금융사, 자율 보안 대책 마련에 분주
김윤진 금감원 부국장은 소비자의 편리성과 함께 기업 스스로 보안 원칙과 대책을 마련하는 기업 자율 보안의 중요성도 커지고 있다고 말했다. 김 부국장은 “지금까지는 보안 규정을 세세하게 정했더니, 기업들은 규정만 지키면 면책된다는 인식이 팽배했다”며 “앞으로 정부의 보안 규제는 큰 기본 원칙만 제시하고, 각 금융사들이 세부적인 보안 규정을 직접 마련하게 할 방침”이라고 강조했다.

이상록 금융보안연구원 본부장도 “금융 회사마다 정보 자산이 다르고, 고객들이 쓰는 운영체제와 브라우저가 각각 달라 당국이 일률적으로 보안 규제 조항을 만들어 규제하기 어려운 시대가 왔다”면서 “금융사들은 사업 우선 순위에 맞춰 각기 다른 보안 체계를 구축하는 것이 중요해졌다”고 말했다. 그는 “보안 솔루션을 구매해 개별적으로 대응하는 보안 시스템으로는 한계가 있다”면서 “악성코드가 급증하고 해커의 공격 방법도 계속 진화하고 있는 데다 내부자 정보 유출 사례도 증가하는 만큼 통합적이고 종합적인 보안 대책을 마련하지 않으면 안 된다”고 말했다.

김종헌 KB국민은행 CISO(최고정보보호책임자)는 새로운 금융 보안 패러다임 흐름에 맞게 ‘ICE’라는 보안 원칙을 만들었다고 발표했다. ICE는 통합(Integration), 통제(Control), 교육(Education)의 머릿 글자다.

그는 “ICE는 외부 보안 위협에 대해 개별 보안솔루션 대신 ‘통합 솔루션’으로 대응하고, 내부 직원들에게 규정을 지켜달라고 부탁하는 보안이 아닌, 보안 규정을 어겼을 때 필요하면 강하게 처벌하는 ‘통제하는 보안’을 하는 것”이라면서 “특히 철저한 ‘보안 교육’으로 직원들의 마인드 자체를 바꾸겠다는 의미도 들어있다”고 말했다. 그는 “얼음을 뜻하는 ICE라는 보안 키워드처럼 ‘온정주의’를 멀리하고 냉철한 마인드를 가질 때 각종 보안 사고로부터 금융 자산과 고객 정보를 지켜낼 수 있다”고 덧붙였다.

◆ 편의성 대신 높아진 보안 위협에 대한 대책은?

소비자의 편의성을 높이면 보안의 위협은 더 커질 것이라는 우려도 적지 않다. 우리나라는 아마존이나 이베이처럼 각종 사기 거래를 적발해내는 이상거래탐지시스템(FDS) 기술도 뒤처져 있다.

전문가들은 금융 보안 패러다임 변화 속에서 보안 사고를 막기 위한 방안으로 ▲사후 대책이 아닌 점검을 통한 보안 대책 ▲소비자 보안 의식 강화 ▲보안업체 투자 확대 ▲정기적인 보안 감사 실시 등 다양한 의견을 냈다.

김종현 KB국민은행 CISO는 “그동안 지금까지는 사전 점검보다는 사후 방어에 급급했지만 앞으론 점검 단계부터 보안에 신경써야 할 것”이라며 “그 이전에 개인 정보를 쉽게 불러주지 않도록 소비자 보안의식을 강화할 필요도 있다”고 지적했다.

조한구 이사는 “국내 보안업체는 규모가 작아 그때그때 터지는 보안 사고 이슈를 따라가기에만 급급하다”며 “보안업계도 시장을 거시적으로 보고 투자를 해야 한다”고 덧붙였다.

박소영 페이게이트 대표는 “기업이 회계 활동을 하면 회계 감사를 받듯이 매년 외부 보안 감사를 실시해야 한다”고 말했다.


Copyrights ⓒ ChosunBiz.com
Comments