[금융라운지 만나고 싶었습니다] 美 '컨트롤 케이스' 최고운영책임자 수레시 대드라니 "금융·핀테크社 매년 보안 감사 받아야"

세계 보안감사 선두 COO, 올해 첫 방문지로 한국 찾아
韓 온라인결제시장 성장↑.. '보안' 중요 이슈 부상 전망
국제 감사기준 채택 제언

"기업들이 매년 회계감사를 하듯 금융사와 핀테크 기업도 매년 보안 감사를 해야합니다."

미국 보안감사 기업 컨트롤 케이스의 수레시 대드라니(Suresh Dadlani·사진) 최고운영책임자(COO)가 지난 5일 한국을 찾았다.

컨트롤 케이스는 글로벌 보안인증사업을 이끌고 있는 기업이다.

수레시 COO는 한국핀테크포럼의 초청 세미나에 참석하며 올해 첫 방문지로 한국을 선택했다.

올해 인터넷전문은행 출범을 앞두고, 시중은행들이 모바일 뱅크 영업을 본격 개시하면서 '보안'은 금융권의 가장 큰 이슈로 떠오를 것으로 예상된다.

수레시는 이날 "한국 기업이 알리바바, 애플 등 글로벌 기업과 거래를 하기 위해서는 '신용카드 데이터 보안 표준(PCI DSS)'과 같은 국제 규격의 보안감사를 수행해야 한다"며 PCI DSS 시스템의 한국 진출을 공식 선언했다.

포럼 이후 본지와 만난 그는 "한국은 신용카드 및 각종 온라인 결제시장이 빠르게 성장하고 있다"며 "보안 문제는 앞으로도 한국 금융 시장에 가장 중요한 이슈가 될 것"이라고 내다봤다.

PCI DSS는 비자, 마스터, 아메리칸 익스프레스 등 글로벌 카드사들이 지난 2006년 개발한 신용카드 업계의 글로벌 보안 기준이다.

카드 데이터의 저장, 처리, 전송 과정에서 유출 가능성을 검증하고 인증하는 역할을 한다. 최근에는 은행, 결제대행업체(PG)를 넘어 항공사, 호텔 등으로도 확대되고 있다.

수레시는 "컨트롤 케이스는 전체 보안 감사 시장의 30~40%를 접유한 업계 선두 기업"이라며 "미국, 유럽, 아시아태평양 지역에 500개가 넘는 고객사를 두고 있다"고 설명했다.

수레시에 따르면 전세계 보안감사 시장은 약 4억달러(4700억원)로 추산되며 현재 300개 정도의 보안감사 회사가 있다.

현재 전세계적으로 보안성 평가는 약 30개가 넘으며 컨트롤 케이스는 PCI DSS보외에도 PADSS, HIPAA, ISO2001,TG3, EI3PA 등을 제공하고 있다.

수레시는 존 챔버시 시스코 회장이 지난해 다보스 포럼에서 했던 말을 인용해 "세상에는 두 종류의 기업이 있는데 하나는 해킹을 당한 기업이고, 다른 하나는 앞으로 해킹을 당할 기업"이라며 "보완에 완벽은 없다"고 강조했다.

그럼에도 PCI DSS와 같은 국제 기준의 보안 감사를 채택하고 매년 유지해야 한다고 당부했다.

특히 PCI DSS의 경우 애플과 같은 대기업이 인증을 받으면 거래관계에 있는 중소기업과 연관 기업도 인증을 받을 것을 요구 받는다.

현재 국민카드, 하나카드 등이 미국에서 통용되는데 글로벌 카드사를 중심으로 최근 PCI DSS 인증을 받지 않을 경우 불이익을 주는 방향 등이 논의되고 있다.

그는 "미국에서는 신용카드 거래를 하는 70~80%이상의 기업이 인증을 받는다"며 "보안감사를 받은 기업은 추후 사고가 발생하면 바로 보고를 하도록 돼 있는데 아직까지 거래처의 큰 사고는 접수되지 않았다"고 지적했다.

컨트롤 케이스는 올해 한국 진출을 본격화 하고, PCI DSS를 통한 보안 생태계 구축에 앞장설 계획이다.

국내의 경우 PCI DSS 인증을 받은 기업은 페이게이트, KG이니시스, 한국사이버결제(KCP) 등 손에 꼽을 정도다. PCI DSS 인증을 해줄 수 있는 보안감사 전문가(QSA)를 둔 기업도 전무한 상황이다.

수레시는 "대형 은행들은 자체보안시스템을 사용하는 경우가 많은데 이들도 제3자에 의한 보안 감사가 필요하다"며 "특히 중소형 핀테크 기업 중 글로벌 진출을 염두에 둔 기업이라면 PCI DSS와 같은 보안감사를 받아야 한다"고 강조했다.

hwlee@fnnews.com 이환주기자