보안위협책임자(CISO) 제도를 도입했지만 여전히 불만의 목소리가 높다. 각종 보안 솔루션을 깔아도 불안함은 해소되지 못했다. 오히려 IT시스템만 더 복잡해졌다. 보안시스템과 IT시스템은 별도로 떨어뜨려 생각할 수 없지만 긴밀한 협조체계를 통한 IT전략 마련도 어렵다는 지적이다.
금융기관 IT 담당자들은 보안위협도 IT 전사 관점에서 고려해야 한다고 강조한다. 조 부행장은 “금융보안은 전사 아키텍처(EA) 관리 체계 아래에서 함께 고민하고 구축하는 것이 유익할 것”이라고 설명했다.
■진화하는 위협…누더기 시스템
금융거래를 대상으로 한 해킹 수법은 꾸준히 진화했다. 파밍에 대한 위협이 부각된 후 얼마 지나지 않아 최근에는 ‘메모리해킹’ 이 또 다시 등장했다.
신종 해킹은 위협이 알려지지 않은 상태에서는 단기간에 큰 피해가 발생한다. 경찰청에 따르면 메모리 해킹으로 지난달 초 3일에 걸쳐 22건의 해킹, 5천만원의 피해가 발생하는 등 짧은 시간에 피해가 광범위하게 확산됐다.
■해외와 비교 말라, 한국은 다르다
보안 방어 시스템 구축은 우리나라 금융IT 환경에서는 특히 중요하다. 온라인 거래 양상이 해외와 많이 다르기 때문이다. 해외에서는 우리나라처럼 온라인을 이용한 실시간 계좌이체가 활발하지 않다. 상대적으로 사기로 의심되는 금융거래에 대해 대응할 시간이 있고 금융기관의 보안 체계도 단순하다.
■균형이 중요…해답은 있나
금융기관 보안시스템 구축은 점차 힘들어지는데 대응해야 할 금융환경은 빠르게 바뀌었다. SNS, 모바일 환경의 확대로 IT인프라를 활용한 금융서비스, 금융거래 형태가 다양해졌다.
단편적인 보안 관리 체계에 대해서도 어려움을 호소한다. 보안 위협은 시스템 곳곳에 다양하게 산재했지만 사건, 사고가 터지고 신기술이 나올 때마다 보안시스템을 도입하다보니 연계도 어렵고 관리도 되지 않는다. 보안시스템만의 문제가 아니다. 통합적인 IT시스템 관리 관점에서 보안 관리는 또 다른 고민이다. 이 때문에 금융기관은 IT시스템 전략과 연계한 보안을 강조한다.전사적인 IT환경을 고려할 때 균형을 맞출 수 있는 보안요소를 넣어야 한다.
further reading
