금융보안 위협 고도화…"사전예방적 감독으로 보안 중시 문화 내재화"
[미디어펜=류준현 기자] 금융당국이 사전예방 중심의 감독 체계를 천명한 가운데, 올해들어 금융권에서 연이은 디지털 금융사고로 곤욕을 치르고 있다. 이를 두고 이찬진 금융감독원장은 "금융보안의 패러다임 변화가 필요할 때"라며 디지털리스크에도 사전예방적 감독을 펼칠 것임을 시사했다. 아울러 내부통제 미흡에 따른 IT 사고에는 무관용 원칙에 따라 책임을 묻겠다는 입장을 내놨다.
 
금융감독원은 7일 본원 대회의실에서 국회, 금융협회, 국내외보안업계 등과 함께 금융보안 패러다임을 '사전예방적'으로 전환하기 위한 간담회를 개최했다고 밝혔다. 

   
▲ (앞줄 왼쪽부터) 황성엽 금융투자협회장, 이찬진 금융감독원장, 이정문 더불어민주당 정무위원, 조용병 전국은행연합회장, 강병훈 카이스트 교수. (뒷줄 왼쪽부터) 이종오 금융감독원 디지털·IT 부원장보, 민기식 SK쉴더스 대표이사, 이병래 손해보험협회장, 김철주 생명보험협회장, 정완규 여신금융협회장, 박상원 금융보안원장, 박상규 팔로알토 네트웍스 지사장./사진=금융감독원 제공


이날 간담회는 금융권의 보안의식과 위험관리 수준을 돌이켜보고, 끊이지 않는 IT·정보보안 사고를 근절할 수 없다는 위기 의식에서 마련됐다. 간담회 참석자들은 보안위협이 지능화·정교화되는 상황에서 IT·보안사고 예방을 위해 금융보안을 중시하는 문화를 내재화해야 한다고 강조했다. 이에 패러다임 전환의 일환으로 경영진 책임의식 강화, 조직문화 개선, 인적·물적투자 확대 등 근본적 변화를 이뤄야 한다는 데 공감했다.

이찬진 금감원장은 "최근까지 우리 금융산업에 외부공격에 따른 침해사고뿐만 아니라, 내부요인에 의한 전산장애가 끊이지 않고 있다"며 "이제는 금융보안 패러다임을 근본적으로 바꿔야 할 때"라고 강조했다. 이어 "금감원부터 감독방식을 기존의 사후제재 중심에서사전예방중심으로 전환하겠다"며 "금융회사 스스로 IT리스크나 보안상 취약점을 조기에 식별해 적시에 조치하는 '선제적 리스크 관리 체계'를 확립하는데 감독 역량을 집중하겠다"고 밝혔다.

그러면서 "기본적인 의무 미준수 또는 내부통제 미흡에 따른 IT 사고가 재발하는 경우에는 무관용 원칙 하에 엄중히 책임을 물을 것이다"고 전했다.

아울러 국회와 금융협회에도 당부의 말을 전했다. 이 원장은 "대규모 정보보안 사고를 보다 실질적으로 예방할 수 있도록 국회에 계류 중인 '전자금융거래법' 개정안의 조속한 처리를 부탁드린다"며 "금융협회에서는 각 업권 내에 금융보안을 중시하는 문화가 정착되도록 앞장서 주시기 바란다"고 당부했다.

이정문 더불어민주당 의원도 "최근 금융권에 해킹 등 IT사고가 빈발하고 있다"며 "전자금융거래의 안전성 확보를 통해 소비자 신뢰를 굳건히 하는 것이 그 어느 때보다 중요하다"고 강조했다.

이어 "금감원의 사전예방적 감독 전환이 시의적절하다"며 "국민이 디지털금융을 마음놓고 이용할 수 있도록 금융회사와 금융감독원이 철저한 IT 리스크관리를 통해 사고를 예방해달라"고 당부했다. 또 금융권의 정보보호수준을 제고하기 위해 전자금융거래법 개정안도 신속 통과할 수 있도록 입법 지원을 하겠다고 강조했다.  

이날 간담회에서는 디지털 리스크를 사전 예방하기 위한 금융권의 노력이 소개됐다. 

우선 금감원 측은 금융회사 스스로 IT리스크를 조기 인식·적시 대응하는 '사전예방적 디지털 리스크 감독 기조'를 설명했다. 특히 선제적 위험관리 정착의 방안으로 △IT자산 식별·관리 강화 △취약점 분석·평가 내실화 △자율 시정 활성화 등을 통해 금융사 스스로 위험요인을 조기에 파악·대응할 수 있도록 유도하고 있다고 밝혔다.  

SK쉴더스 관계자는 "다양화·고도화하는 침해 공격에 대비하기 위해 SW공급망 관리, 공격표면 관리 등 취약요인에 대한 선제적식별·보호전략이 필수"라며 "견고한 보안체계 수립·유지를 위해서는 경영진의 관심, 정보보호 투자 확대, 인력 양성 등 전사적 차원에서 지원이 필요하다"고 강조했다.

팔로알토네트웍스 관계자는 "AI 활용 등 공격기법지능화·정교화, 랜섬웨어 공격 확산 등으로 글로벌 사이버 위협이 더욱 확대될 것으로 예상된다"며 "사이버보안이 전략적·경제적·사회적 문제로 부상하고 있음을 고려하면 민관이 함께 상시협력체계를 구축하는 등 선제적대응이 필요하다"고 말했다.

각 금융협회장들은 "사이버 위협 등에 대한 대응역량이 금융회사의 평판·신뢰도에 중대한 영향을 미친다"며 "IT사고를 방지하기 위해서는 금융보안 패러다임을 전환할 필요가 있다는 점에 공감한다"고 답했다. 이에 사전예방적 감독방안을 업권에 이행할 수 있도록 적극 협조하겠다고 밝혔다.

박상원 금융보안원장은 "보안 위협 정보 공유 등을 통해 '사전예방적감독'이 원활히 작동되도록 적극 지원할 것"이라며 "침해사고 대응 훈련 내실화, 금융보안 수준 진단 체계도입 등을 통해 금융회사의 침해공격 대응 역량강화를 위해 최선을 다하겠다"고 밝혔다.

강병훈 카이스트 교수는 "빈발하는 대규모 침해사고를 방지하기 위해서는 IT자산의 철저한 식별·관리가 선행돼야 한다"며 "상대적으로 보안에 취약한 중소금융회사들이 필수적인 IT내부통제를 수립·이행할수 있도록 적극 지원해달라"고 제안했다.

금감원 관계자는 "금융보안패러다임 전환을 위한 사전예방적감독이 실효성 있게 작동하도록 제반 과제들을 속도감 있게 추진할 예정"이라며 "금융권 전반의 보안 의식 제고와 선제적 리스크 관리 확립을 위해 금융회사, 보안업계 등과 긴밀히 소통할 계획"이라고 전했다. 

[미디어펜=류준현 기자] ▶다른기사보기