개인정보 유출. 우리나라 국민이라면 다들 한 번쯤은 당한 보안 사고입니다. 정보통신 기술은 나날이 발전하고 있는데, 보안의식과 금융보안기술은 이 속도를 따라가지 못해 금융 사고가 연이어 발생하고 있습니다.
이에 지난 6월 16일, 전경련 컨퍼런스 센터에서 한국경제연구원, 건국대학교 금융 IT 학과, 아시아 금융학회가 공동으로 “최근 금융 보안사고와 금융회사의 대응과제 및 금융 IT 인력 양성”이라는 주제로 한 정책 세미나를 개최했습니다.
개회사를 맡은 한국경제연구원 권태신 원장은 “정보통신기술과 금융의 융합으로 새로운 창조경제의 지평이 열리고 있다”고 말하며 “하지만 보안의식 및 금융 보안기술이 정보통신 기술에 따라가지 못해 금융 보안 사고가 잦게 발생하고 있다”고 지적했습니다. 그래서 이번 세미나를 통해 혁신적인 한국 금융 산업의 첫걸음이 시작되기를 기대한다고 말했습니다.
Session 1&2) 최근 금융 IT 융합 환경의 변화와 금융 안정성 제고 방안
첫 번째와 두 번째 세션은 고려대 정보보호대학원 김인석 교수, 하나금융지주 미래경영지원팀 김경호 부장, 그리고 명지대 경영학과 문종진 교수가 주제발표를 맡아 진행했습니다.
◎ 금융 IT 융합 환경 변화
지금 국내는 금융과 IT의 융합으로 새로운 금융채널이 등장하면서 금융 환경에 큰 지각 변동이 일고 있습니다. 금융회사의 각 지점은 주 채널에서 대체 채널로 전락했으며 유례없이 스마트해진 고객들은 디지털 채널을 통해 스스로 금융 업무를 처리합니다.
디지털 금융시대에 걸맞는 새로운 컨셉의 금융 회사들도 등장하고 있습니다. 이들은 기존의 은행계좌 중심에서 탈피해 선불형 계좌로 기존 은행을 위협하고 있습니다. 뿐만 아니라 Paypal, 구글, 애플, 아마존, 중국의 전자상거래 기업인 알리바바 등이 Global Digital Leaders로서의 면모를 갖추고 있습니다.
이에 김경호 부장은 금융회사들이 특히 옴니채널(Omni-channel)에 주목해야 한다고 말했습니다. 옴니채널이란 다양한 멀티채널을 고객의 입장에서 하나의 채널로 보이도록 결합한 고객 중심의 서비스를 말하는데요. 이를 통해 모바일은 부가가치를 창출하고 금융 시스템의 효율성을 높일 수 있습니다.
하지만 김 부장은 이러한 금융환경의 변화가 좋은 점만 있는 것은 아니라고 강조했습니다. 고령화가 가속화되고 비대면 거래의 비중이 높아지면서 불완전 판매 또한 속출하는 문제가 발생하고 있기 때문입니다.
◎ 결제제도와 금융안정성 제고
금융안정성(Financial stability)이란?
금융기관들이 정상적인 자금 중개기능을 수행하고 금융시장 참가자들의 신뢰가 유지되는 가운데 지급결제제도 등의 금융 인프라가 잘 갖춰져 있어 금융시스템이 원활하게 작동하는 상태
금융 안정성을 위해서는 먼저 지급결제제도의 효율성과 안정성 확보가 필수적입니다. 우리나라는 2008년 규제완화와 함께 다양한 금융 결제 시스템을 구축할 기회가 있었지만 당시 글로벌 금융위기와 저축은행 사태 등으로 무산된 바 있습니다.
1 세션의 토론을 맡은 한양대 응용경제학과 강임호 교수는 금융시스템의 효율성과 안정성 제고를 위해서는 규제가 아닌 다양한 시스템과 활발한 신규 진입, 은행 구조조정, IT 인력양성 등이 이루어져야 한다고 강조했습니다. 또한 국제기준에 부합하는 결제시스템을 운영하고 금융시장 인프라에 관한 원칙을 잘 지켜나가야 한다고 말했습니다.
◎ 금융소비자보호 강화방안
명지대학교 문종진 교수는 “비대면 방식의 확대로 전자금융사기와 개인정보 유출 사고가 빈번해지면서 향후 소비자보호 강화방안에 대한 필요성이 높아졌다”고 전했습니다. 문 교수는 전자금융사기의 예로 피싱, 파밍, 스미싱 등을 들었는데요.
※ 스미싱이란? 문자메시지(SMS)와 피싱(Phishing)의 합성어
<스미싱 과정>
① ‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일 청첩장’ 등을 내용으로 하는 문자메시지 내 인터넷주소 클릭
② 악성코드가 스마트폰에 설치
③ 피해자가 모르는 사이에 소액결제 피해 발생 또는 개인·금융정보 탈취
스미싱에 이용된 변종 악성코드는 소액결제 인증번호를 가로채는 것에 그치지 않고 최근에는 피해자 스마트폰에 저장된 주소록 연락처, 사진(주민등록증·보안카드 사본), 공인인증서, 개인정보 등까지 탈취하므로 더 큰 금융범죄로 이어질 수 있음
(출처:사이버경찰청)
한편 문 교수는" 법률적으로는 개인정보법에서 규정하고 있는 개인정보의 개념 및 범위가 모호하다는 문제가 제기되고 있으며, 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지는 스스로 결정해야 하는 개인정보 자기결정권이 재조명되고 있다"고 언급했습니다. 전통적으로 금융 분야는 개인정보를 다양하고 상세하게 수집 및 활용해왔지만 최근 잦은 개인정보 유출 사고로 개인정보 침해 문제의 처리 및 해석이 큰 이슈로 주목받고 있는 것입니다.
이외에도 문 교수는 "이용자들도 정보 보호를 위한 준수사항을 잘 이행해 안전한 전자금융환경을 구축하기 위한 주체별 역할에 충실해야 한다"고 강조했습니다.
Session 3&4) 최근 금융 보안사고와 금융회사의 대응과제
세 번째, 네 번째 세션에서는 한양대학교 융합전자공학부 김동규 교수와 고려대학교 융합소프트웨어 전문대학원 최진영 교수가 발제를 진행했습니다.
먼저 김동규 교수(이하 김 교수)는 금융 보안 사고가 일어난 원인 5가지를 조명했습니다.
Ⅰ 금융 서버에서 개인 정보 유출
Ⅱ POS 결제단말기 해킹
Ⅲ 스미싱 해킹
Ⅳ 공인인증서 해킹
Ⅴ 스마트카드 해킹
※ POS 단말기란?
판매시점관리(POS·Point of Sale) 단말기. 개인용 컴퓨터(PC)에 카드 결제 장치를 달아 판매 시점의 상품명이나 가격 등의 데이터를 저장하는 단말기가 많다. 종합적인 매출 관리를 해야 하는 대형 마트는 물론 소형 가맹점에서도 많이 사용하고 있다.
(출처:네이버 사전)
이에 대한 대응으로 김 교수는 금융서버 내 관리 체계를 강화할 것을 강조했습니다. 개인 정보를 보호하는 시스템을 구축하고 강력한 보안 팀을 운영하는 것을 골자로 하고 있는데요.
또한 마그네틱 카드를 IC 카드로 신속히 전환해야 한다고도 주장했습니다. 작년까지 유통된 현금카드, 신용카드 등은 대부분 마그네틱 카드로 위조나 개조가 비교적 쉽고 자기의 영향을 쉽게 받는다는 결함이 있습니다. 그래서 올해 2월부터 부분적으로 IC 카드가 도입이 됐는데요. 그런데 여기서 카드사와 가맹점 간 교체비용 갈등 문제가 있어 이에 대한 해결이 중요하다고 말했습니다.
그러면서 김 교수는 하드웨어 기반 보안시스템을 대안으로 제시하기도 했습니다. 김 교수는 PUF를 기반으로 하는 보안칩이 취약점을 보완해 해킹을 방지할 수 있다고 강조했습니다.
※ PUF란?
물리적 복제방지 기능. 반도체 제조 공정상에서 발생하는 변이 값을 이용해서 값(Value)을 생성하는 기능. 각 반도체 별다른 값을 생성해서 반도체의 지문과도 같은 역할을 하는 차세대 반도체 응용 보안기술
한편 마지막 발제를 맡은 고려대학교 최진영 교수는 “시대가 변하면서 스마트 시대에 맞는 전문가 양성이 중요해졌다”며 “소프트웨어 중심 서비스로 변하는 금융업에서 품질과 보안이 매우 중요하기 때문에 IT 인력의 재교육을 통한 전문인력 육성이 필요하다”고 강조했습니다.
종합토론
종합토론 시간에는 앞서 발제한 전문가들의 열띤 토론이 이어졌습니다. 사회를 맡은 아시아금융학회 오정근 회장은 “공공기관에서 전산 관련 업무를 하는 사람이 암호화 과정도 제대로 모르는 경우가 많다”고 지적하며 “이는 보안과 전산에 취약한 우리 사회의 단면을 보여주고 있음으로 사태에 대한 심각성을 인지해야 한다”고 지적했습니다.
또한 “중국 인터넷 전자상거래 업체 알리바바가 작년 9월 출시한 온라인펀드상품에는 불과 9개월 만에 중국 증권사들이 23년 동안 확보한 고객 9,000만 명에 버금가는 8,000만 명의 고객을 확보하고 90조 원의 자금을 끌어모았다”며 “거스를 수 없는 대세에 뒤쳐 지면 한국 금융은 낙후할 수밖에 없을 것”이라고 주장하며 토론을 시작했습니다.
글로벌 마인드가 중요 - 고려대학교 최진영 교수
최진영 교수는 현재 우리 금융 기업이 금융 소프트웨어 개발 교육에 대한 기회를 제공하는 데 대해 긍정적으로 평가했습니다. 최 교수는 “금융권 취업을 원하는 사람이 많은 것이 그만큼 금융업에 대한 높은 관심을 나타내는 것"이라며 “금융 소프트웨어를 개발하는데 글로벌 마인드가 무엇보다 중요하다”고 강조했습니다.
한국과 미국 시스템 차이는 규제 - 건국대학교 이영환 교수
이영환 교수는 “우리나라의 금융시스템 자체보다는 규제가 문제”라고 주장하며 “주민등록번호와 공인인증서를 없애야 하며, 복잡한 규제가 현시점에 가장 큰 문제”라고 지적했습니다. 이어 "규제 개혁을 모토로 하는 현 정부에서 금융 보안에 대한 규제를 완화하는 것이 필요하다"고 주장했습니다.
금융기관이 할 일과 할 수 없는 일 구분해야 - 하나금융지주 미래경영지원팀 김경호 부장
김경호 부장은 금융회사가 모든 업무를 총괄할 수 없다고 지적하며 “IT나 보안 등은 전문업체에 위탁하는 것이 효율적이고 올바른 방법이 될 수 있다”고 주장했습니다. 또한 “금융기관이 할 수 있는 일과 없는 일은 확실히 선을 그어야 한다”고도 강조했습니다.
공인인증 시스템 보완 필요 - 한양대학교 김동규 교수
김동규 교수는 현재 있는 공인 인증 시스템의 변화가 필요함을 지적했습니다. VISA나 MASTER 같은 세계적인 업체가 모바일 사업에 진출하지 않는 이유를 “보안 전문 기업이 보안 방지에 미흡한 구조를 갖고 있기 때문”이라고 분석했습니다.
결제 기관의 건전성과 투명성 필요 - 명지대학교 문종진 교수
문종진 교수는 결제제도에 참여하는 기업이 사업을 확장하는 경우 그 분야에 과도한 신용 공여를 하면 보안과 기술 때문에 문제가 초래될 가능성이 높다고 지적했습니다. 지속적, 안정적인 결제 시스템을 보장하는데 있어서 결제 기관의 유동성과 건전성이 가장 중요한 요소라는 점도 강조했습니다. 끝으로 중앙은행인 한국은행의 역할이 중요하다며 감시 감독 시스템도 보완해야 한다고 주장했습니다.
IT 보안 시스템을 단기적 시각으로 보면 안 된다 - 하나금융연구소 노진호 연구위원
노진호 연구위원은 보안 문제가 생기면 영업의 자유를 제한하는 정부의 규제가 문제임을 지적했습니다. 또한 “소비자는 문제가 생겨도 예금자보호법 등을 통해 보호를 받으므로 금융사를 옮길 유인이 적다”며 “이는 금융기관의 도덕적 해이로 이어질 수 있기 때문에 단기적인 시각보다 장기적인 시각에서 시스템 자체를 바라봐야 한다”고 강조했습니다.
규제 자체가 후진적 발상 - 한양대학교 응용경제학과 강임호 교수
강임호 교수는 "IT 강국인 우리는 대통령 말 한마디에 규칙이 법칙으로 바뀌며 이런저런 규제를 적용한다"며 "중국은 알리바바의 금융업 진출을 허용하는 등 적극 지원하고 있으나 우리는 이런 시대에 역행하고 있다"고 지적했습니다. 또한 현 공인인증서 시스템 등에서 파생되는 위험은 오히려 큰 기업에서 나온다고 분석하며 "신생기업이나 스타트업 기업에겐 규제를 가급적 없애는 게 좋다"고 강조했습니다.
스마트 시대에 사물끼리 연결되는 사물인터넷까지 등장하면서 보안 문제가 점점 사회적 문제로 커지고 있습니다. 이런 문제는 금융업에도 예외가 아닙니다. 우리 경제에 필요한 자금을 공급하는 금융업에 보안 문제가 발생하면 거래 리스크가 커지고 이에 소비자의 신뢰는 추락합니다. 이미 우리는 해킹이나 개인정보 유출 등 각종 대형 사례를 보며 이런 현실을 피부로 느낄 수 있었습니다.
우리나라는 전 세계에서 손꼽히는 IT 강국입니다. 점점 빨라지고 편리해지는 IT지만, 동전의 양면이라는 말처럼 숨어 있는 보안 문제도 짚고 넘어가야만 합니다.
이번 토론에서 발제자들은 우리의 금융 관련 보안 기술은 좋지만 지나친 규제와 보안에 대한 인식이 부족하다는 점을 공통적으로 지적했습니다. 따라서 보안 교육을 강화해 전문가를 양성하고 인식 변화를 유도해 위험을 최소화하는 방안이 필요합니다.
보안에 철저한 대한민국, 언제쯤 가능할까요? 그 날이 얼른 오기를 기대합니다.
* 본 게시물은 자유광장 서포터즈 학생들의 제작물로 전경련의 공식입장과 다를 수 있음을 밝힙니다.
'캠퍼스토크 > 대학생경제읽기' 카테고리의 다른 글
| 2014년 하반기 경제와 외환시장 전망, 하반기 경제 기상예보는? (1) | 2014.07.02 |
|---|---|
| 피케티 자본론을 향한 올바른 시각은 무엇인가 (3) | 2014.07.01 |
| FTA 원산지 사후검증에 대응하기 위한 4계명은? (0) | 2014.06.26 |
| 2014년 하반기 세계와 국내 경제전망은? (0) | 2014.06.24 |
