국내 금융 IT보안의 산증인을 만났다. 지난해 3월 고려대학교 정보보호대학원 교수로 자리를 옮기기 전까지 금융IT 보안의 최전선에서 일해왔던 김인석 교수(금융IT연구소 소장)가 바로 그다.
 
김 교수의 히스토리는 바로 국내 금융 IT보안의 히스토리와 맞닿아 있다. 김인석 교수는 1980년 한국은행 전산정보본부에서 근무를 시작으로 1996년까지 한국은행 온라인 개발부터 시스템운영 업무를 담당했다.
 
그는 “한국은행에서 16년간 IT실무를 담당하면서 일반 시중은행에서 이루어지는 모든 IT업무를 섭렵했다. 시스템 교체부터 전산센터 구축과 이전, 온라인 개발 등 대형 프로젝트들의 기획과 운영업무를 수행해 왔다. 한국은행 전산센터를 남대문에서 역삼동으로 이전했던 일 그리고 한국은행 금융망 구축 등 그땐 힘들었지만 그 시절이 지금의 나를 있게 한 크나 큰 자산이기도 하다”고 말한다.
 
◇11년간 금융 IT보안만을 생각해온 ‘달인’=이 후 그는 1996년 은행감독원으로 발령을 받아 은행 IT검사 업무를 담당한다. 97년까지 IT검사 업무를 해 오다, 1998년 금융감독원 설립 준비 선발대로 차출돼 은행, 증권, 보험, 신용관리기금 등 4개 기관 전산시스템 통합화 작업과 금융위 설립시 전산시스템 구축 총괄업무를 담당했다. 그야말로 초창기 한국의 금융IT 인프라 구축의 최전선에는 그가 항상 있었던 것이다. 그리고 있어야만 했다.
 
98년 1년간 4개 기관 통합화 작업을 마무리하고 99년 금감원이 출범한다. 그는 99년 1월부터 2001년 12월까지 금감원 전산실에 초대 기획과장직을 맡으며 시스템 안정화 작업을 진행했고 그후 IT검사국으로 자리를 이동한다. 검사팀장을 2년 정도 하다가 검사국이 없어지고 IT검사연구실로 바뀌면서 IT검사연구실 실장직을 맡게 된다. 이곳에서 주요 업무가 바로 은행에서 발생한 IT사고 분석과 대책을 마련하는 업무였다. 그는 99년부터 2011년까지 11년간 이 업무에 종사해 왔다. 자타가 공인하는 국내 최고의 금융IT 보안 전문가라고 할 수 있다. 고려대도 그의 경험에서 우러나온 현업의 지식들을 후학들에게 전수하고자 교수로 초빙한 것이다.
 
그는 당시 에피소드 몇 개를 이야기했다. “2003년 1.25 대란때 이야기다. 1월 24일부터 한국통신인터넷망이 공격을 받았다. 그때가 토요일이었다. 은행망은 문제가 없을 거라 생각했는데 피해가 확산되면서 은행망도 문제가 발생했다. 그래서 일요일에 팀원 전원을 소집해 분석에 들어갔다”며 “당장 월요일부터 증권거래소 문을 못 열 판이었다. 그래서 KT와 대응하며 일요일 밤 11시경에 간신히 거래소가 있는 여의도지역 네트워크를 살렸다. 그래서 다음날 새벽 금감원 임원들에게 거래소 거래에는 문제가 없다고 브리핑하려는 자리에서 네트워크가 다시 죽었다는 연락을 받았다. 하지만 그 동안의 경험과 직감으로 틀림없이 살아날 것이란 믿음으로 문제없다는 브리핑을 하고 나오는 중에 다시 네트워크가 정상으로 움직인다는 연락을 받았다”고 당시를 회상했다.
 
그는 “그런 일들이 그 전에도 몇 번 있었고 피를 말리는 작업들을 여러 번 겪어봤다. 그런 과정을 몇 번 겪고 나니 그날도 될 것이라는 확신이 있었다”며 “그것이 바로 경험에서 나오는 자신감이 아닐까”라고 말했다.   
 
◇금융 보안사고 터지면 무조건 해결책 내놔야 했다=그는 11년간 금융사고가 터지면 어떻게 대응할 것이냐를 고민하고 그 해결책을 내놓아야만 하는 고된 자리에 있었다. 
 
김 교수는 또 “인터넷뱅킹에 대한 해킹공격이 많았을 때, 경찰은 중국 해커들 소행이라며 어쩔 수 없다고 말했다. 하지만 이것을 방치하면 계속 피해가 발생할 것이 뻔했다. 그래서 무조건 잡아야 겠다고 결심했다”며 그래서 “몇몇 은행과 협의해 공동으로 자금을 출자했다. 경찰은 중국 해커에 대한 정보를 알려주고 이 정보를 중국쪽 로펌에 비용을 지불하고 사건을 의뢰했다. 중국 로펌이 움직이면서 중국 공안도 신경을 쓸 수밖에 없었고 결국 범인을 검거했다. 잡고 보니 그 중국해커는 한국인 계좌번호와 비밀번호, 공인인증서 등 500여 명의 금융정보를 가지고 있었다. 그 이후 중국 해커들 사이에 소문이 나면서 인터넷뱅킹 해킹사건이 거의 사라졌던 적이 있다”고 소개했다. 
 
또 2007년 신용카드 복제사고도 빼놓을 수 없다. 카드복제 사고가 발생하면 경찰은 관할 경찰서로 넘긴다. 즉 사건의 연계성을 생각하는 것이 아니라 건별로 처리하기 때문에 범인검거가 힘들다. 하지만 금감원은 유사사고가 발생하면 전체 은행에서 보고가 들어오기 때문에 공통점을 찾아낼 수 있었다.
 
김 교수는 “당시 신고된 고객들의 카드 사용기록을 6개월 전 것부터 조사했다. 모든 피해 고객들의 카드 내역을 크로스체크했다. 그래서 피해자들이 공통적으로 사용했던 위치를 찾아냈다”며 “그 결과 서울 모처에 위치한 시디기에 카드복제 장치가 있을 것이란 확신을 가지고 직접 가 보니 정말 그 안에 복제기와 범인의 노트북이 들어있었다. 그렇게 해서 대형사고를 막은 적도 있다”고 소개했다.
 
◇걱정되는 부분은 이런 것=한편 그는 걱정도 된다고 말한다. “금감원은 사실 경찰보다 금융과 관련해서는 더 많은 정보를 가지고 있기 때문에 그런 작업들이 가능하다. 경험이 있기 때문에 분석만 잘하면 범죄자를 검거해 큰 피해를 막을 수 있다”며 하지만 “이제 후배들이 그런 작업들을 해줘야 하는데 걱정이다. 요즘 금감원 직원들은 은행 현업 경험이 없다. 바로 금감원에 입사하기 때문이다. 은행에서 실제로 어떻게 시스템이 돌아가고 어떤 문제들이 있는지 경험을 통해 진단할 수 있어야 한다. 직접 현장에 나가 검사를 하면서 많은 공부를 하기 바란다”고 후배들에게 조언도 잊지 않았다.
 
최근 금융기관에 대한 보안규정들이 강화되고 있다. 이에 대한 김 교수의 생각도 들어봤다. 그는 “금융기관들이 알아서 해야 한다. IT인력의 5%를 보안인력으로 하라는 것도 2005년부터 권고한 내용이다. CSO 도입하라는 것도 마찬가지다. 왜냐하면 사고가 계속 나고 있기 때문이다. 규정이 강하다고 푸념할 것이 아니라 실제로 보안을 하겠다는 의지가 있어야 한다. 의지가 없으니 강제규정이 아닌 것은 피해가려고 한다. 그렇게 있다가 사고 나면 어떻게 될지를 생각한다면 규정이 없어도 은행들이 알아서 보안을 준비해야 한다”고 강조했다.   
 
또 금융기관들이 보안규정이 너무 강해 그것을 그대로 준수하려면 예산이 너무 많이 들어간다고 어필하는 것에 대해 그는 “거꾸로 생각해보자. IT가 없으면 그 많은 금융업무들을 할 수 있을까. 전산화해서 비용이 절감되고 있다는 것을 모르고 있다. 전산화에 따른 수수료 수입도 만만치 않다. 그런 이익을 가져다 주는 IT시스템들을 보호하고 고객들에게 안전한 뱅킹 환경을 만들어주는 것은 은행의 의무다. 보안에 돈이 너무 들어간다고 어필하는 것은 보안에 대한 의지가 없다는 것”이라고 일축했다.
 
또 하나 금융시스템의 문제점을 지적했다. 그는 “우리나라 금융은 통제된 금융이 아니다. 통장개설이나 카드발급시 큰 제약이 없다. 보이스피싱이나 금융해킹은 이런 맹점을 잘 알고 공격하는 것이다. 미국은 금융범죄를 저지르면 평생 금융거래를 못할 정도로 강하다. 보안이 잘돼 있다기 보다는 그런 규정을 마련해 범죄를 억제시키고 있다”며 “계좌개설이나 통장개설 절차만 강화해도 대포통장은 존재할 수 없다. 여러 번 이 문제를 제안했지만 외국인과 관련되면 외교부에서, 노숙자와 관련되면 인권단체 등에서 반발해 무산됐다. 금융범죄는 입금된 계좌주인만 잡으면 되는데 한국은 대포통장이 널려있으니 못잡는 것이다. 그러니 금융사고가 계속 발생하는 것”이라고 지적했다.
 
금융권 CSO 문제도 도마에 올랐다. “요즘 CSO를 임명하라고 하니 대부분 금융기관에서 CIO와 CSO를 겸직으로 두고 있다. 문제다. CSO가 CIO 밑에 있는 것도 안된다. CSO는 독립적이어야 한다. CIO는 비즈니스 관점에서 CSO는 보안적 관점에서 회사의 발전을 생각하는 것”이라며 “CIO와 CSO가 대등한 관계에서 그리고 상호 협력관계에서 일해야만 한다. 또 CSO는 기술보다는 전체를 보는 눈을 가진 전문가여야 한다. 현장 IT보안을 관리하는 것이 아니라 회사 전체의 보안 시스템이 어떻게 구성돼야 하고 회사 비즈니스에 어떤 도움을 줄 수 있는지 생각하는 자리가 CSO다”라고 강조했다.
 
◇후배들에게 경험으로 얻은 모든 것 알려 주고파=그는 이제 치열했던 은행과 금감원 업무들을 뒤로 하고 후학양성에 매진하고 있다. 김 교수는 “대학으로 온 이유는 바로 내 경험을 알려주고 싶어서다. 현장 경험을 잊어버리기 전에 빨리 후배들에게 전달해주고 싶은 생각”이라며 또 “대학원 내 금융IT연구소를 설립해 금융회사들의 요청에 따라 보안컨설팅도 해주고 있다. 일반 컨설팅 기업에서 하는 컨설팅과는 다르다. 오랜 기간의 현장 경험을 바탕으로 진단하고 평가해 실질적 대응방안을 마련해주는 것이다. 이 또한 후배들에게 경험을 전달하는 과정이라고 생각한다”고 전했다.
 
김 교수는 “대학으로 오지 않고 로펌에 갔다면 돈은 더 많이 벌 수 있었겠지만 지금처럼 후배들에게 경험과 노하우를 전달하고 다양한 활동을 할 수는 없었을 것”이라고 말하며 “지금이 금감원 있을 때보다 더 바쁜 것 같다. 의미있는 일이라고 생각하고 즐거운 마음으로 임하고 있다”고 웃음 짖는다.
 
또 오는 3월부터는 현재 금융사에서 일하는 직원들을 대상으로 강의코스도 만들 예정이라고 한다. 내용은 모의해킹, 취약점 점검 업무 등이다. 이 업무들은 주로 외주를 주긴 하지만 담당자가 너무 모르면 제대로 이루어졌는지 체크할 수 없기 때문에 금융기관 담당자들에게는 매우 유익한 강좌가 될 것으로 보인다.
 
27년간 금융IT와 보안이라는 힘든 분야에 헌신해 왔고 이제는 후배들을 위해 자신의 경험을 나누고 있는 김인석 교수. 만약 보안분야에 인간문화재를 몇 명 지정해야 한다면 당연 김 교수도 그 중 한 명이 될 것이다.  
[데일리시큐=길민권 기자]