금융권 디지털전환 선행조건은..."사이버보안 강화"

[디지털투데이 강진규 기자] 금융권에서 디지털전환(DX)이 화두가 되고 있는 가운데 그 핵심이 사이버보안이라는 분석이 나왔다. 사이버보안이 강력해야 디지털금융의 신뢰를 확보할 수 있다는 것이다.

14일 금융권에 따르면 금융연구원은 최근 금융포커스에서 ‘국내 금융회사의 클라우드 현황 및 과제’를 분석했다.

금융연구원은 국내 금융회사들이 성공적으로 디지털전환을 하기 위해서는 클라우드 서비스 활용이 중요하다고 강조했다. 국내 금융회사들의 상당수가 기존 IT시스템의 노후화 및 복잡성으로 인해 시스템의 효율화가 쉽지 않은데 클라우드 서비스를 도입할 경우 적은 비용으로 짧은 시간에 IT시스템을 현대화활 수 있다는 것이다.

특히 금융연구원은 결론에서 클라우드 서비스를 위해서 무엇보다 중요한 것이 보안이라고 주장했다.

금융연구원은 “국내 금융회사들의 클라우드 이용률이 낮은 것은 과거 대규모 고객정보 유출의 경험과 남북 대치에 따른 사이버위협 등으로 보안에 대한 신뢰가 부족하기 때문”이라며 “클라우드 활성화를 위해서는 우선적으로 사이버 보안 선진화와 클라우드 관련 리스크 관리 등으로 신뢰를 회복해야 한다“고 지적했다.

금융연구원의 지적처럼 국내 금융회사들에게 사이버보안은 트라우마로 남아있다. 2009년 7.7 디도스 공격, 2013년 3.20 사이버테러 사건 당시 국내 금융회사들이 피해를 받았다. 또 2011년 4월 농협 전산망 마비 사건은 최악의 금융권 해킹 사건 중 하나로 남아있다. 2014년 카드사 1억건 정보유출 사건도 전 사회적인 충격을 줬다.

이에 따라 새로운 시스템, 기술을 도입할 경우 금융권 내외부에서 보안 문제부터 거론되고 있다. 금융연구원은 이런 우려를 해소해야 클라우드 서비스로 전환이 제대로 될 수 있다고 보는 것이다.

금융연구원은 대안으로  각 금융회사 단위로 개인정보와 회사기밀 등 중요 정보 자산과 비중요 자산을 명확히 분리해 중요도에 비례한 접근성을 부여해야 한다고 지적했다. 또 보안업계에서 화두가 되고 있는 제로 트러스트(Zero Trust) 등을 금융권도 적용해야 한다고 설명했다. 

제로 트러스트는 '아무것도 신뢰하지 않는다'는 것을 전제로 사용자 또는 기기가 접근을 요청할 때 철저한 검증을 실시하고, 검증 후에도 최소한의 신뢰만 부여해 접근을 허용하는 방식이다. 지난 10월 26일 과학기술정보통신부와 한국인터넷진흥원(KISA)은 제로트러스트 및 공급망 보안 포럼을 발족시킨 바 있다.

이런 최신 보안 기술 추세를 금융권이 빠르게 따라가야 한다는 것이 금융연구원의 분석이다.

또 금융연구원은 대부분의 클라우드 보안사고가 이용자의 전문성 부족 및 관리 실수로 발생하므로 각 금융회사가 클라우드 및 보안 관련 전문가를 양성하는 것이 가장 중요하다고 밝혔다.

이미 금융권에서는 디지털전환을 위한 보안 강화를 추진하고 있다. 이달 초 우리은행과 우리에프아이에스(FIS)는 ISO 27017 국제표준 클라우드 보안 인증을 획득했다. ISO 27017은 클라우드 서비스 제공자의 정보보안 통제 수단의 적정성 등을 평가하는 클라우드 보안 인증이다. 또 우리은행은 금융보안원과 협력해 지난해와 올해 모의해킹 경진대회를 열고 보안인력 양성을 지원했다.

신한은행의 경우는 2021년 12월 해외 20개국 현지법인 및 국외지점 전체를 대상으로 각 국가에서 발생하는 침해 위협을 대응할 수 있는 24시간 운영기반의 ‘글로벌 통합보안관제 시스템’을 운영하기 시작했다. 정부부처들에서 분야별 통합보안관제 센터를 구축해서 운영하는 사례가 있는데 신한은행은 이런 개념은 전 세계 지점을 대상으로 벤치마킹 한 것이다.

금융권에서는 금융연구원의 지적처럼 디지털전환, 디지털금융 확산과 사이버보안이 함께 갈 수밖에 없다고 보고 있다. 오히려 선제적 대응이 필요하다는 지적도 있다. 이에 따라 금융회사들의 보안강화 움직임은 앞으로 더 활발해질 것으로 예상된다.