1980년 한국은행 전산본부에서 근무를 시작으로 1996년 은행감독원에서 IT검사 업무, 1998년 금융감독원 설립 준비 선발대로 은행, 증권, 보험, 신용관리기금 등 4개 기관 전산시스템 통합화 작업과 금융위 설립시 전산시스템 구축 총괄업무 담당, 1999년 금융감독원 출범 이후 금감원 전산실 초대 기획과장, 금감원 IT검사연구실 실장으로 11년간 금융기관 IT사고 분석과 대책을 마련하는 업무 담당. 바로 고려대학교 정보보호대학원 김인석 교수(사진)의 이력이다. 김 교수의 삶은 우리나라 금융 IT보안 그 중심에 서 있다. 이후 2011년부터 지금까지 고려대학교에서 금융기관 후배들에게 그동안의 현장 경험과 지식을 전수하는데 전력을 다 하고 있다.
 
데일리시큐는 여의도 모처에서 김인석 교수를 만나 최근 금융보안에 대한 그의 생각과 근황에 대해 들어보는 시간을 가졌다.
 
인터넷전문은행, 핀테크, 모바일 등 금융 환경이 급격히 변하면서 금융IT보안 환경도 변화하고 있다. 최근 금융보안원은 ‘2016년 금융 IT-보안 10대 이슈 전망’을 발표하며 핀테크 서비스 확산, 자율보안체계 확립, DDoS 공격 시도 등 사이버 위협 지속, 다양한 금융서비스 신규 도입으로 보안취약점이 출현할 것으로 전망했다.
 
특히 금융권 자율보안체계 확립에 대해 김인석 교수는 이렇게 말한다.
 
-김인석 교수: 금융보안도 시대 흐름을 타고 있고 자율과 통제가 반복되고 있다. 자율성을 강조하다가 언제 다시 감독강화로 바뀔지 모른다. 2001년 당시는 은행 자율로 암호화, PC보안, 사설인증으로 자율보안 체계로 운영됐다. 하지만 2005년 금융기관 사고가 터지면서 자율보다는 강한 통제와 기준을 만들어 감독을 강화해야 한다는 목소리가 높아져 다시 통제로 돌아섰다. 현재는 자율을 강조하지만 자율보안체계에서 사고가 계속 발생하면 다시 감독강화 이야기가 나올 수 있다.
 
은행이 자율적으로 하면 은행마다 다른 시스템을 도입해야 하고 고객들도 은행마다 다른 인증서를 사용해야 하고 개별 은행별로 보안솔루션 설치도 많아져 불편해 질 수 있다. 은행별 인증서가 충돌해 장애가 발생할 수도 있다.
 
방향성은 자율보안체계가 맞지만 체계가 확립되기 위해서는 어디까지 해야 만족시킬 수 있는지 그 답을 제시해 줘야 한다. 아직 그 답을 제시 못하고 있다. 당국은 자율보안으로 하자면서도 자꾸만 가이드를 제시하고 거버넌스를 제시한다. 가이드가 일종의 규제가 되어 버린다. 이러면 진정한 자율보안이 안된다. 금감원이나 금보원에서 가이드를 제시하면 참고용으로만 할지 가이드에 따라야 할지 금융기관들은 힘들어 한다. 만약 사고가 발생하면 가이드를 안 따르고 자율적으로 한 기관이 불리해 질 수 있기 때문이다.
 
자율적으로 하려면 금융기관들이 ‘우리는 보안은 강하게 하지 않지만 피해보상은 확실하게 하겠다’ 혹은 ‘우리는 보안을 강화하고 피해보상은 줄이겠다’는 선택을 할 수 있게 해야 한다.
 
금융권 현장에서 후배들이 힘들다는 이야기를 많이 한다. 이유는 자율적으로 하라고 하는데 어디까지 성을 쌓아야 요구수준을 맞추게 되는 건지 판단이 서지 않기 때문이다.
 
자율적으로 하라고 하지만, 금융권 보안사고가 터지면 법원에서는 가장 보안이 높은 쪽에 맞춰 기준을 잡을 것이다. 금융사별로 서로 어느 수준까지 암호화나 방화벽, PC보안을 하고 있는지 오픈을 하지 않기 때문에 어느 수준까지 보안을 해야 하는지 기준을 못 잡는 상황이 발생하고 있다.
 
또 자율보안이 긍정적인 면도 있지만 부정적인 측면도 고려해야 한다. 이전처럼 금감원이 요구하는 사항이 있으면 보안팀에서 예산확보도 쉽게 이루어지는데 자율로 가면 보안팀이 신규 보안솔루션을 도입하려고 해도 경영층은 다른 은행이 했는지 알아보고 했으면 하라는 식으로 나올 수 있다. 보안팀의 답이 “모르겠다” 혹은 “다른 곳은 하지 않았다”고 답하면 경영층은 “다른 곳도 안했는데 왜 하냐”는 식으로 나 올 수 있다. 즉 보안담당자들이 신규 보안사업을 진행하는데 더욱 어려워질 수 있다는 것이다.
 
다시 말해 자율성이 기관마다 보안수준 편차를 심하게 만들 수도 있고 최소한의 것도 안 하는 경우까지 발생할 수 있어 우려된다. 후배들도 찾아와 어디까지 보안을 해야 하는지 답답해 하며 물어본다. 교수 입장에서는 보안의 최대치를 말해 줄 수밖에 없다. 하지만 담당자의 현실은 녹록지 않다는 점이다.
 
사용자들의 편의성을 최우선으로 하고 기관들이 공통으로 갖춰야 할 것은 감독기관이 감독하고 그 이상 추가할 것은 자율에 맡기는 것이 현명할 것 같다.
 
김 교수는 지난해 대학원생들과 다양한 연구활동도 진행했다. 올해도 각종 금융기관 보안주제를 가지고 연구를 진행할 계획이다. 올해 대학원 연구 계획에 대해 들어봤다.
 
-김인석 교수: FDS와 빅데이터 분석을 통해 해외에서는 금융사로를 막고 있다며 우리도 할 수 있다고 하지만 해외는 금융 정보 수집과 분석이 자유롭다. 그래서 다양한 패턴과 결과물을 도출해 사고를 막을 수 있지만 우리는 정보 수집이 제한돼 있다. 정보 수집하는데 하나하나 모두 동의를 받아야 하는 상황이다. 이런 상황에서는 FDS와 빅데이터를 통해 의미있고 디테일한 데이터를 도출하기가 힘들다. 학생들과 FDS와 빅데이터 분석에 대해 연구하고 있지만 어려운 부분들이 있다.
 
또 금융기관 보안사고 글로벌 평균은 0.3%다. 알리페이가 0.4%다. 우리나라는 0.1%다. 가장 낮다. 중국은 우리의 금융보안 체계를 연구하고 한국 모델을 도입하려고 한다. 우리의 장점을 살리고 자율적 보안이 자리잡을 수 있도록 해야 한다. 학생들과 글로벌 금융 모델들과 한국 모델을 비교 연구하는 작업도 하고 있다.
 
핀테크도 중요한 연구 주제다. 국내 핀테크는 간편결제나 금융자신관리 등 단편적인 형태에 머물러 있다. 핀테크 산업에 보다 새로운 아이디어가 나와야 한다. 새로운 매커니즘과 거래 솔루션을 연구하며 사용자들에게 편리성과 보안성을 충족시켜줄 수 있지만 기존 다른 나라에서 하지 않는 새로운 모델을 개발하는데 중점을 두고 있다.
 
새로운 핀테크 모델이 나오기 위해서는 제도 개선도 중요하다. 우리나라는 등록절차 기간도 길고 그 과정에서 정보가 노출돼 카피가 이루어져 신규 시장을 만드는데 어려움이 많다. 창의적인 생각들이 춤을 추고 놀 수 있는 장을 만들어 줘야 핀테크 산업도 발전할 수 있을 것이다. 또 금융사들이 핀테크 관련 기술을 다른 산업 분야에 열어줘야 한다. 금융과 일반생활을 어떻게 연결할 수 있을지, 사용자들이 필요한 것이 무엇인지 오픈마인드로 서로 협력해야 핀테크 산업이 우리나라에서 꽃필 수 있지 않을까.
 
그리고 인터넷전문은행도 이슈다. 얼만큼의 인프라를 갖춰 시작할 수 있을지, 전산시스템 구축하는데 시간도 많이 걸리고 어려움이 예상된다. 비대면 거래가 문제없이 돌아갈 수 있을까. 현재 제시된 방법들은 모두 허점이 존재한다. 이를 어떻게 방어할 수 있을지 학생들과 모의점검을 하면서 연구하고 있다.
 
삼성페이, 알리페이 등 모바일 결제도 연구 과제다. 모바일 결제가 공격타깃이 되면 파급력이 너무 크다. 거의 비슷한 시스템을 사용하고 있기 때문에 하나의 사고가 터지면 연쇄적으로 문제가 발생할 수 있다. 그 대안으로 인증서를 사용하면서 2차적으로 파이도(FIDO)에서 지문을 도입해 사용하는 등 완벽한 인증서 체계를 갖고 있는 우리나라가 모바일 결제를 안전하게 사용할 수 있는 방안도 연구 중이다.
 
보안사고 발생시 피해보상 문제도 금융사들의 현안이다. 지금은 사고가 발생하면 은행들이 보험사에 고객들을 연결해 준다. 하지만 고객들은 보험사와 싸워야 하기 때문에 힘들다. 고객은 은행을 보고 거래한 것인데 정작 문제가 발생하면 보험사와 실랑이 벌여야 하는 구조라 고객들에게 불편을 초래하는 구조라 문제가 있다.
 
은행이 고객에게 직접 피해보상을 해 주고 은행과 보험사가 싸워야 한다. 피해보상을 신속하게 해 줄 수 있는 방안을 찾아야 한다. 인터넷가 모바일 뱅킹 고객을 늘리기 위해서는 피해보상이 신속하게 이루어져야 한다. 그래야 고객이 늘고 은행들도 이익을 창출할 수 있다. 이 문제에 대한 연구도 해외 사례 등을 중심으로 진행중이다.  
 
한편 김 교수는 2011년부터 교수생활 6년째에 접어들었다. 현업에 있을 때와 교수 생활, 어떤 차이가 있는지 물었다.
 
-김인석 교수: 우선 시야가 많이 넓어졌다. 감독원에 있을 때는 금융만 생각했지만 이제는 다양한 분야를 생각하고 연구하게 됐다. 각종 시스템과 제도들이 금융에 어떤 영향을 미치게 되는지 연구하는 과정에서 시야도 넓어졌다. 또 연구한 결과물들이 현장에 어떻게 적용되는지 확인하는 과정도 도움이 된다.
그리고 금감원에 있을 때보다 후배들이 더욱 편하게 현안에 대해 물어보고 자문도 구한다. 그리고 보다 넓은 시야로 종합해서 방법을 제시해 줄 수 있어 좋다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com