김영기 "클라우드 핵심은 보안…MS·아마존도 금융보안원 OK 받아야"

[서경이 만난 사람-김영기 금융보안원장]
해킹방어대회 잇따라 우승…우수 화이트해커 집합소
올 10월까지 사이버 공격 210만4,000건 적극 대응
내달 오픈뱅킹 확대 시행…핀테크 보안성 점검도 담당
보안업무는 '비용' 아닌 '투자' 인식 정착에 힘쓸 것

김영기 금융보안원장 /이호재기자

KT·네이버 등 국내 굴지의 정보기술(IT) 기업부터 세계 1·2위 클라우드 사업자 아마존웹서비스(AWS)·마이크로소프트(MS)까지 국내 금융 클라우드 시장에 진출하려면 예외 없이 가장 먼저 넘어야 할 문턱이 있다. 바로 금융보안원의 클라우드 안전성 평가다. 금융당국은 올해부터 금융사가 개인신용정보·고유식별정보 같은 중요한 금융정보도 외부 클라우드로 처리할 수 있도록 규제를 완화하면서 금융사의 클라우드 서비스 안전성 평가를 지원할 기관으로 보안원을 지정했다. 보안원이 국내외 클라우드 업체의 보안 수준을 평가할 전문성을 가장 잘 갖춘 기관으로 인정받은 셈이다. KT·네이버비즈니스플랫폼(NBP)·NHN·삼성SDS에 이어 MS가 보안원의 안전성 평가를 마쳤고 국내 금융 클라우드 시장 진입을 노리는 AWS도 최근 보안정책 협의를 위해 보안원을 다녀갔다. 김영기 금융보안원장은 “금융사와 클라우드 사업자 모두 보안원에 대한 신뢰가 상당히 높다”며 “AWS도 국내에서 사업을 하려면 보안원의 평가를 완료해야 하는 만큼 적극적인 협조를 약속했다”고 말했다.

금융보안의 중요성은 금융의 디지털 혁신과 함께 더욱 두드러지고 있다. 새 기술을 활용한 서비스가 출시되면 외부 위협도 그만큼 복잡다기화되기 때문이다. 보안원이 올해 들어 지난 10월까지 자체 관제센터를 통해 잡아내 대응한 사이버공격 건수는 210만4,000건이다. 이미 지난해 연간 공격 건수(176만1,000건) 를 넘어섰다. 김 원장은 “클라우드·인공지능(AI)·블록체인 등 4차 산업혁명의 핵심기술이 금융 영역으로 들어오면서 혁신적인 금융 서비스가 만들어지고 있지만 그만큼 보안의 신뢰성 문제도 커지고 있다”며 “금융의 디지털 전환에 필요한 보안업무를 적시에, 전문성 있게 제공하기 위해 노력하고 있다”고 강조했다. 지난달 임기 반환점을 돈 그를 13일 서울 여의도 집무실에서 만났다. /대담=홍준석 금융부장 jshong@sedaily.com

김영기 금융보안원장 /이호재기자

AI가 개인의 자산을 관리하고 투자 포트폴리오를 추천하는 서비스는 익숙해진 지 오래다. 오픈뱅킹 시대가 열리면서 소비자들은 이제 애플리케이션 하나로 모든 은행 계좌를 통합 조회하고 송금도 할 수 있게 됐다. 입법 막바지 단계인 ‘데이터 3법’이 국회를 통과하면 수많은 데이터를 활용한 개인맞춤형 금융 서비스는 물론 익명화된 데이터를 사고파는 플랫폼 출시도 가능해진다.

이렇게 금융혁신의 속도가 빨라질수록 소비자의 편익은 커지지만 그만큼 보안에 대한 우려도 깊어질 수밖에 없다. 돈이 흐르는 금융권은 사이버 위협의 타깃이 되기 쉽다. 2013년 주요 방송사·금융사가 해킹된 3·20사이버테러, 2014년 카드사 3곳에서 소비자 개인정보 1억400만건이 유출된 사건이 대표적이다. 김 원장은 인터뷰 내내 “진정한 금융혁신을 위해서는 공고한 금융보안 체계가 뒷받침되는 것이 가장 중요하다”고 역설했다.

“금융의 디지털 전환 중 큰 변화의 흐름은 이제 더 이상 금융회사만 금융을 하는 게 아니라는 겁니다. 예전에는 은행·보험·증권사만 하던 업무를 이제 핀테크·P2P 업체나 IT 기업들도 쪼개서 하고 있습니다. 그 결과 소비자가 금융업무를 볼 수 있는 채널이 다양해졌고 이미 은행 거래의 90% 이상은 비대면으로 이뤄지고 있습니다. 금융사도 예전에는 자체 전산 시스템으로 고객 정보를 저장하고 활용했지만 앞으로 더 많은 회사가 외부 클라우드 서비스로 전환할 겁니다. 결국 사이버 위협이 핵심 리스크로 떠오르면서 여기에 대응하고 고객의 정보와 재산을 보호·관리하는 일의 중요성은 더 커질 수밖에 없습니다.”

올해로 설립 5년차인 금융보안원은 본래 금융결제원·코스콤·금융보안연구원 등 3개 기관이 나눠 맡아온 금융보안 업무를 통합해 출범했다. 전체 직원 228명 가운데 70% 이상인 187명이 IT·보안 전문인력이다. 사단법인임에도 공적인 성격을 띠는데다 다른 조직에서는 부수적인 업무로 취급돼온 금융보안을 전담하는 기관이다 보니 화이트해커를 포함한 보안 분야의 인재들이 몰려들고 있다는 게 안팎의 평가다. 김 원장은 “이번에 정보보호 분야 신입직원 14명을 블라인드 방식으로 채용했는데 뽑고 보니 전원이 국내 유수의 보안업체에서 근무했던 경력직이었다”며 “정상급 해커들도 많다”고 설명했다. 실제 보안원 직원들은 국내외 각종 디지털포렌식·빅데이터·해킹방어대회에 출전할 때마다 우수한 성적을 거두고 있다. 올해 빅데이터 분석전문업체 ‘스플렁크’가 주관한 해킹방어대회 ‘2019 BOTC’와 지난해 국내외 450개 팀이 참가한 ‘디지털포렌식챌린지(DFC) 2018’, 국내 최대 해킹방어대회 ‘HDCON 2018’ 등에서 우승을 거머쥐었다.


이는 실적으로도 나타난다. 보안원이 365일 24시간 운영하는 자체 금융보안관제센터를 통해 분석한 사이버공격 시도는 올 들어 10월까지 677만2,000건에 달한다. 하루 평균 2만2,000건으로 지난해(2만1,000건)보다 5% 늘었다. 여전히 횡행하는 보이스피싱도 올 1월 자체 개발한 탐지 시스템으로 예방에 힘쓰고 있다. 보안원이 탐지한 피싱 사이트는 지난 한 해 1만8,422건에서 올해 1~10월 4만4,850건으로 2.5배나 급증했다.

보안원은 이렇게 잡아낸 사이버 위협 정보를 금융사들과 적극적으로 공유하고 있다. 보안원이 올해 10월까지 추적하고 샘플을 수집한 악성코드만도 3,500만건인데 이 중 4만건에 대해서는 상세한 종류와 기능을 분석한 뒤 금융회사와 공유했다. 사이버 위협을 막기 위해서는 정보공유를 통한 공동대응이 필수적이기 때문이다. 보안원은 현재 은행·보험·증권·카드·전자금융업 등 191개 금융회사를 사원기관으로 두고 있다. 김 원장은 “사이버 위협의 가장 큰 특징은 적이 누군지 모른다는 것”이라며 “금융기관이 아무리 개별적으로 보안 시스템을 강화해도 보안원 같은 전담기관의 전문성과 정보수집 역량을 자체적으로 갖추기는 어렵다”고 설명했다.

이렇게 전문성으로 다져진 보안원에도 금융혁신은 엄청난 도전이다. 빅데이터·블록체인·클라우드 등 다양한 신기술이 속속 금융 분야에 접목됨에 따라 이에 관한 보안 가이드를 새로 마련하고 핀테크 기업의 혁신을 돕는 것도 보안원의 몫이다. 보안원은 이미 금융권 클라우드 확산과 새로운 암호 알고리즘 등장에 맞춰 올 1월 ‘금융 분야 클라우드컴퓨팅 서비스 이용 가이드’와 ‘암호기술 활용 가이드’를 개정했다. 앞으로 대용량 디도스 공격에 대비해 클라우드대피소를 이용하는 대응체계도 구축할 예정이다.

다음달 본격 시행되는 오픈뱅킹 서비스에 참여할 핀테크 기업의 보안성 점검도 보안원이 담당하고 있다. 김 원장은 “아무래도 핀테크 업체의 정보보호 수준은 기존 금융사에 비해 뒤떨어지는 것이 사실이라 초기에는 많은 업체의 참여가 쉽지 않을 것 같다”면서도 “정부와 보안원이 보안점검 비용을 지원하는 만큼 앞으로 전반적인 보안수준이 향상될 것으로 기대한다”고 말했다. 보안원은 앞으로 신용정보법 개정안이 통과되면 금융사들과 함께 금융 빅데이터 활성화를 위한 물밑작업에도 적극 나설 계획이다. 김 원장은 “빅데이터거래소 구축, 데이터 표준 API 마련, 금융회사 정보활용·관리상시평가제 시행 등 보안원이 해야 할 일이 많다”며 “앞으로 남은 임기 동안 금융혁신에 발맞춰 새로운 보안에 대한 수요도 계속 생길 것 같다”고 웃음을 지었다.

김 원장은 여전히 보안을 ‘투자’가 아닌 ‘비용’으로 여기는 금융사들의 인식을 개선하는 것이 자신의 역할이라고 강조했다. 그가 올해부터 금융사 최고경영자(CEO)들에게 매달 금융권 사이버보안 동향과 각종 정책요점을 담은 ‘CEO 뉴스레터’를 직접 보내는 것도 이런 목적에서다. 김 원장은 “보안원은 금융혁신을 위해 필수적인 보안 인프라 기관”이라며 “사원기관인 금융사들에도 보안원의 존재가치와 정보보호의 중요성을 적극적으로 알리는 것이 원장으로서 반드시 해야 할 일”이라고 말했다.
/정리=빈난새기자 binthere@sedaily.com 사진=이호재기자

[서경이 만난 사람] 김영기 금융보안원장

△1963년 △1988년 영남대 경영학과 △2004년 성균관대 경영학박사 △1981년 한국은행 입행 △2005년 금융감독원 검사지원국 팀장 △2007년 금융감독원 여전감독실 팀장 △2010년 금융감독원 저축은행서비스국 팀장 △2012년 금융감독원 상호여전감독국장 △2014년 금융감독원 감독총괄국장 △2016년 금융감독원 은행 담당 부원장보 △2018년 금융보안원장


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>