[인터뷰]허창언 금융보안원장 “국내 보안기술 경쟁력 충분…해외 수출길 열겠다”

금융보안원, ‘4차산업’ 블록체인·클라우드·AI·빅데이터 연구 집중

"미국과 견줘도 기술력은 충분", 낮은 보안의식과 규제체계 손질 시급

허창언 금융보안원장은 국내 금융보안 수준에 대해 '한국의 1년이 해외의 10년'이라는 표현을 빌려 보안강국의 수준을 따라잡을 만큼 급격하게 성장했다고 강조했다. ⓒ금융보안원

"처음에는 미국 아이삭(ISAC, 미 정보공유분석센터)과 MOU를 체결하려는데 자기들 정보를 이용하려면 돈을 내라더군요. 우리도 자부심이 있는 입장에서 그럼 너희도 우리 정보 이용하려면 돈 내라고 맞불을 놨죠."

허창언 금융보안원장은 최근 여의도 금융보안원에서 기자와 만나 4차산업 혁명을 중심으로 한 국내 금융보안 수준에 대해 에피소드를 들려주며 자부심을 드러냈다.

허 원장은 '한국의 1년이 해외의 10년'이라는 표현을 빌려 외국에 비해 시작은 비록 늦었을지언정 보안강국의 수준을 따라잡을 만큼 급격하게 성장했다고 강조했다.

그러나 정작 일반 금융소비자들이 접하고 있는 국내 금융보안의 현실은 그리 녹록치 않는 게 사실.

허 원장은 연일 터지는 각종 금융보안사고와 그에 따른 소비자들의 막대한 피해 우려까지 최근 4차산업 혁명, 핀테크의 발전과 함께 터져나오는 금융업권의 현실에 대해 "최근 금융회사를 대상으로 디도스와 해킹, 랜섬웨어 등 금전적 목적의 사이버 공격이 증가하고 있는 것은 사실"이라며 "그러나 이같은 추세는 국내 뿐 아니라 전 세계 다수 기업에서 동일하게 발생하고 있다"고 지적했다.

특히 일반인은 물론 금융회사를 대상으로 한 랜섬웨어 공격이 급증함에 따라 금융보안원은 워너크라이(WannaCry), 페티야(Petya) 등 최신 랜섬웨어에 대한 상세분석과 더불어 신규 취약점 공격에 대비한 보안 강화에 나서고 있는 실정이다. 여기에 24시간 365일 모니터링과 통합보안관제센터 운영, 앞서 언급됐던 해외 금융보안기관 등 유관기관과의 긴밀한 공조체제 역시 발생 가능한 위협에 대비한 신속한 대응의 일환으로 마련됐다.

차세대 보안기술 ‘블록체인’을 기반으로 한 가상화폐 이슈 또한 뜨거운 감자로 꼽힌다. 오랫동안 지속된 저금리 기조에 투자자들이 최대 수 천배에 이르는 높은 수익을 꿈꾸며 가상화폐시장으로 몰리면서 국내 가상화폐 거래소는 이달 초 이미 세계 가상화폐 거래규모 1, 2위 수준에 이르렀다. 그러나 연일 반복되는 급등락에 따른 일반인들의 금전적 피해가 잇따르고, 거래소 등이 해킹에 연루되는 등 보안성에도 한계점을 고스란히 드러내고 있다.

허 원장은 "‘가상화폐’ 비트코인이 지난 2009년 1월 세상에 처음 등장한 이후 구조적 취약점으로 인한 사고는 거의 없었다는 것이 업계 중론"이라며 “다만 분산된 환경에서 여러 참여자 간 합의를 거쳐야 하는 블록체인 특성 상 기밀성 확보에 불리하고 최근 발생한 ‘빗썸 거래소’ 해킹사고와 같이 참여자가 보유하고 있는 ‘암호키’가 공격에 의해 탈취될 경우 자산이 불법 인출되거나 정보가 조작될 우려가 있는 만큼 ‘암호키 보호’가 중요한 숙제로 꼽힌다”고 지적했다.

또 한가지 문제는 숱한 문제가 발생한 아직까지도 가상화폐에 대한 금융당국의 제도적 장치가 마련돼 있지 않다는 점이다. 때문에 금융권을 회원사로 두고 있는 금융보안원 역시 '통신판매업자'로 분류된 가상화폐 거래소에 대한 보안성 심사에 나설 수도 없는 상황이다. 다만 블록체인을 기반으로 하는 플랫폼에 대해서는 보안원 소관이라는 해석에 따라 오는 9월 출범을 앞두고 있는 금융보안원의 블록체인 테스트베드 플랫폼이 본격 출범할 경우 가상화폐 거래소에 대한 보안성 검증은 제한적으로나마 가능할 것으로 보인다.

그는 “블록체인을 활용해 진입할 수 있는 영역은 개인인증에서부터 결제, 주식, 보험, 그리고 디지털화폐와 고객정보 보호 기능까지 그야말로 무궁무진하다”며 “이번에 보안원이 구축할 블록체인 테스트베드 플랫폼을 통해 금융사들의 블록체인 기반 서비스가 제대로 작동하는지를 사전에 검증함으로써 보다 혁신적이고 경쟁력을 갖춘 금융서비스 기술 개발에 기여하고자 하는 것”이라고 설명했다.

허 원장이 바라보는 국내 금융보안의 미래와 한계는 분명했다. 금융과 혁신적인 IT 기술이 지속적으로 결합하면서 나타나는 새로운 금융보안 위협에 지속적이고도 발빠른 대응이 필수라는 것이다.또 금융보안의 문제를 여전히 단순히 비용 절감 차원으로 접근하는 일부 금융회사 경영진들의 낮은 보안의식 역시 금융산업의 발목을 잡고 있다고 진단했다.

이밖에도 획일적 사전규제 중심인 국내 금융보안 규제가 또 하나의 한계라고 지적한 그는 여전히 부족한 보안전문인력 육성을 4차산업 핵심과제로 꼽았다. 최신 기술을 금융서비스 및 사이버 복원력에 접목시킴으로써 해킹 및 랜섬웨어 공격 시 빠른 시간 내 복구 조치가 필요하다고 강조한 그는 일반 화이트해커 뿐 아니라 간편결제나 송금, P2P 등을 기반으로 급증하고 있는 핀테크 스타트업 수에 맞먹는 양질의 보안전문업체 육성의 필요성을 강조하기도 했다.

실제로 금융보안원은 국내 보안기술의 해외진출과 관련해 첫 발을 내딛고 있는 상태다. 아직은 출범 초기 단계지만 내년 베트남 등 동남아지역을 중심으로 기술지원에 나선다는 계획이다. 보안원은 우선 현지에 진출해 다양한 경험을 통해 쌓아올린 국내 금융보안 시스템을 재능기부 방식을 통해 현지에 전파하겠다는 계획이다.

그는 “아직 초기단계이긴 하지만 국내처럼 금융보안시스템 자체가 체계적으로 잘 구축된 나라가 많지 않다"며 “국내 금융보안 시스템이 일단 현지에 적용되면 그에 따른 국내 보안기술과 전문인력 등 다양한 수요가 형성될 수 있는 만큼 금융보안원이 국내 금융보안 수출의 전초병 역할을 할 수 있을 것으로 기대된다”고 강조했다.

'인터뷰'를 네이버에서 지금 바로 구독해보세요!