1필자가 금융보안원장으로 취임한 후 사람들에게서 가장 많이 받는 질문 중 하나가 “보안수준을 높이려면 어떻게 해야 하나요?”다. 안타깝게도 이 질문에 대한 대답은 그리 간단하지 않다. 미국의 권위 있는 보안 전문가이자 암호학자인 브루스 슈나이어가 말했듯 보안은 제품이 아니라 프로세스이고 전체적인 보안수준은 보안사슬의 가장 약한 고리만큼만 안전하기 때문이다. 마치 조그만 물구멍 하나가 커다란 저수지의 둑을 무너뜨릴 수 있다는 것과 마찬가지의 이치다.
우리나라의 전자금융 보안은 정책·감독·검사를 담당하는 금융감독당국부터 전자금융서비스를 제공하는 금융회사, 금융보안 전문기관인 금융보안원, 수많은 협력업체들, 그리고 가장 중요한 금융이용자들까지 긴 사슬(chain)로 연결돼 있다. 이 사슬의 연결고리 중 어느 한 부분이 취약해지면 전체 보안수준이 그만큼 내려가게 된다. 침입자들은 그 연결고리 중 가장 약한 부분을 노리게 될 것이다. 또한 범죄에 이용되는 악성코드와 같은 것들은 컴퓨터를 옮아 다니는 전염성을 가지고 있다. 이 때문에 금융보안은 금융당국과 금융회사만의 노력만으로 해결할 수 있는 문제가 아니며 전자금융거래 이용자의 적극적인 참여가 필요한 것이다.
금감원이 지난해 9월 발표한 ‘보이스피싱·파밍 등 금융사기 피해내역’에 따르면 금융사기 건수는 2012년 2만536건에서 2014년 3만2,568건으로 59% 증가했고 피해액은 같은 기간 중 약 315억원 수준에서 1,637억원으로 419% 증가했다. 또한 경찰청에 따르면 피싱·파밍·스미싱·메모리해킹 등 금융이용자를 노린 사이버금융범죄 발생건수가 2015년 7,886건으로 2014년 대비 약 20% 급증했다. 이와 같은 금융범죄 피해는 대부분이 금융이용자의 방심과 실수에서 비롯된다.
금융보안의 가장 중요한 목적은 금융기관 이용자의 피해예방에 있다고 볼 수 있다. 금융당국, 금융회사, 금융보안 전문기관이 아무리 완벽한 금융보안 정책과 시스템을 구축하고 최전방에서 위협을 탐지하고 대응한다 하더라도 위와 같이 금융이용자단에서 보안을 소홀히 한다면 피해를 막아낼 수가 없다. 금융이용자 역시 금융보안에 책임감을 가지고 보안 수칙을 습관화해 일상 속에서 실천하는 것이 중요한 이유이다.
금융보안원에서는 올해 금융이용자의 피해예방과 보안에 대한 인식 고취를 위해 ‘전자금융 피해예방 10대 수칙’을 작성해 발표했다. 전자금융 피해를 예방하는 수칙은 전혀 복잡하거나 실천하기에 어렵지 않다. 신뢰할 수 없는 웹사이트는 방문하지 않기, 출처가 불분명한 e메일은 열람하지 않기, 금융 거래시에는 보안설정이 없는 무선랜(Wi-Fi) 끄기, 백신프로그램과 패스워드를 주기적으로 업데이트하기 등이다. 조금 귀찮거나 불편할 수 있지만 금융이용자들이 기본 안전수칙을 철저히 지킨다면 날로 편리해지고 새로워지는 전자금융서비스를 더욱 안전하고 즐겁게 이용할 수 있을 것이라 생각된다.
허창언 금융보안원장
