[fn논단]

금융보안, 소 잃으면 외양간도 없다

특정 기업을 타깃으로 하는 랜섬웨어 등 사이버 공격이 가히 충격적이다. 랜섬웨어 공격의 위험을 예상했음에도 불구하고 '인터넷나야나'와 같은 중소 웹호스팅 업체를 타깃으로 한 공격은 해당 업체를 이용하던 또 다른 웹페이지를 마비시키며, 이를 빌미로 해커가 해당 업체를 상대로 거액을 요구하는 상황이 발생했다. 결과론적으로 해커와 협상을 통해 대가를 지불하기로 한 점도 문제이지만, 이로 인해 해커들이 어떻게 하면 좀 더 쉽게 돈을 벌 수 있는지를 알았기 때문에 2차 피해에 대한 우려도 만만치 않다. 심정적으로 이해는 하지만, 해커와 협상을 하고 거액의 돈을 쥐여줌으로써 해킹으로 '대박'을 칠 수 있다는 인식을 심어준 점에서 나쁜 선례가 되고 말았다

사실 랜섬웨어에 감염되면 자력으로 복구하는 것은 거의 불가능하다. 그렇기 때문에 개인이 랜섬웨어에 감염됐을 경우에는 복구를 포기하는 방법을 택한다고 하지만, 상대적으로 중요한 데이터를 많이 보유한 기업의 입장에서는 쉽게 포기하기가 어렵다. 이를 알고 있는 해커들은 최근 특정 기업들을 타깃으로 한 공격을 많이 하고 있는데, 특히 금융회사는 단 한번의 사고가 재정적 피해뿐만 아니라 금융회사의 신용과 브랜드 이미지를 하락시키는 점을 고려한다면 더욱 긴장해야 하는 것은 자명한 일이다. 특히 4차산업의 중요성과 더불어 실명제 기반에서의 비대면 인증의 적용, 인터넷전문은행의 출현, 빅데이터 기반의 새로운 신용도 평가, 인공지능(AI) 기반의 챗로봇 등장 등 새로운 정보통신기술(ICT)이 금융과 접목되어 디지털 금융화를 위한 박차를 가하고 있는 요즘 혹 경험해 보지 못한 새로운 형태의 사이버 공격의 피해는 정말 생각하고 싶지도 않은 일이다. 예를 들어, 대부분의 디지털 금융이 모바일 기반으로 이루어지는 점을 고려했을 때 '좀비 모바일 폰'과 같은 1차 위험에서 2차 금융권(제1·2 금융권, 보험업계, 카드사 등)을 비롯해 최근 거래가 매우 두드러진 가상화폐 거래소까지 사전예방에 대한 절실함이 대두되고 있다.

사실 사전예방이라는 것이 알고보면 대단히 전문적인 지식이 필요한 것은 아니다. 누구나 실천할 수 있는 작은 관심과 좋은 습관에서부터 비롯된다. 사용자는 PC나 모바일의 모든 소프트웨어를 최신 상태로 유지하고 최신 보안 업데이트와 방화벽을 항상 활성화 상태로 유지하며, 바이러스나 악성코드 방지 프로그램을 사용하고 중요자료는 별도로 백업하는 습관을 들여야 하겠다. 무엇보다 의외로 작은 데서부터 보안 문제가 시작될 수 있음을 간과하지 말고 실천해야 하는 보안인식이 제일 중요하다.
금융권 입장에서는 첫째 새로운 디지털 환경 내 체계적인 위험관리, 둘째 보안사고 시 관련기관과의 긴밀한 공조체제, 셋째 네트워크의 물리적·논리적 망 구성과 백업 절차, 마지막으로 금융권 내 체계적인 정보보호관리체계(ISMS) 환경 내에서의 운영이 필요하다.

정보보호는 아는 것만큼이나 실천이 중요하다. 작은 실천을 통해 전체 조직의 정보보호가 완성될 수 있다는 점을 명심하고, 금융보안을 위해서는 예방이 최선임을 간과해서는 안될 것이다.

홍승필 성신여자대학교 융합보안공학 교수