지난 2005년 발생한 인터넷뱅킹 해킹 사고를 계기로 국민들의 안전한 전자금융거래를 위해 설립된 금융보안연구원은 금융보안에 있어 핵심적인 역할을 수행해왔다. 금융감독원 기업공시국장에서 자리를 옮겨 지난 2월 24일 제3대 금융보안연구원장으로 취임한 김광식 원장은 올해 금보원을 더욱 내실화하고 회원사와 감독기관 사이의 채널링(Channeling) 역할을 강화하겠다는 포부를 밝혔다.

연보라 기자 bora@ciomediagroup.com

▲ 금융보안연구원장을 맡게 된 소감이 어떠한가? 30여 년 간 한국은행과 금융감독원에서 줄곧 금융 감독 업무를 주로 해왔던지라 이번 금융보안연구원장의 자리는 큰 도전이었다. 물론 잠시 IT 업무를 맡았던 적도 있었지만 금융에 대한 업무가 주였다. 이제는 금융보다는 IT가 중심인 금융보안 분야에서 새로운 출발을 하게 된 셈이다. IT 자체도 상당히 전문성이 요구되는 분야인데다 거기에 금융이 접목돼 있기 때문에 더욱 어려운 도전이 되겠지만 개인적으로는 큰 기회라고 생각한다. IT와 금융은 모두 워낙 전문적인 분야이기 때문에 이 두 분야를 모두 다 잘 아는 사람은 많지 않다. 금융 혹은 IT 한쪽 분야만을 중심으로 일을 하다 부분적으로 타 분야를 경험하는 경우가 대부분이다. 그래서 이 두 분야를 아울러야 하는 금융보안연구원장의 자리가 스스로에게 발전의 계기가 될 수 있을 것으로 기대하고 있다. 2월에 취임을 했으니 아직 조직에 대해 파악하는 중이긴 하지만 금융보안연구원은 분위기가 다소 유연하다는 인상을 받았다. 금융감독원의 경우 대상 고객이 투자자, 금융소비자 등으로 워낙 다양한데다 객관적이고 일관성 있게 감독업무를 하려면 분위기가 조금 딱딱해질 수밖에 없는데 금보원은 금융회사의 보안 전문가들로 대상이 제한돼 있어 이해의 폭도 넓고 의견 교환이 수월하다는 특징이 있는 듯하다.

OTP·정책·채널링·인력 지원 등이 핵심

▲ 금보원이 수행하고 있는 주요사업과 기능은 무엇인가? 금융보안연구원의 가장 중요한 사업은 OTP(One Time Password) 통합인증센터의 운영이라 할 수 있다. 통상 금융거래를 할 때 보안성을 강화하기 위해 보안카드를 사용하거나 OTP를 사용하게 되는데 그 중에서도 OTP는 이용하기 쉬우면서도 보안성이 강화된 편리한 시스템이다. 통합적으로 구축이 되어 있기 때문에 어떤 금융사에서 발급을 받아도 모든 금융사에서 자유롭게 사용할 수 있다. 이러한 OTP 통합인증 시스템은 비용을 낮추면서도 효율적이고 이용자들이 편하게 접근할 수 있는 좋은 제도라고 생각한다. 만약 이러한 시스템을 단일 기업들이 각자 구축하려면 많은 비용이 들었을 것이다. 싱가포르가 우리 OTP 통합인증 시스템을 벤치마킹해 현재 이용 중에 있다. 미국은 각 금융사들이 개별적으로 OTP를 구축해서 사용하고 있기는 하지만 이는 주마다 법이 다르고 통합이 어려운 문화적 특성이 있기 때문이고 우리나라나 싱가포르와 같은 중앙집권적인 동양 문화권에서는 통합적인 OTP 시스템이 유용할 것이라 생각한다. 또한 금융보안연구원은 금융 IT 및 정보보호에 관한 정책 연구개발을 수행한다. 자체적으로 혹은 회원사들과 공동으로 많은 연구들을 진행하고 있는데 최근에 와서는 자체 연구보다는 공동 프로젝트가 더 많은 듯하다. 새로운 소프트웨어에 대한 연구를 수행하기도 하고 해킹(Hacking), 피싱(Phishing) 등 금융부문 전자적 침해에 대한 대응조치 및 방안을 수립하기도 한다. 회원사들에게 금융부문 정보보호 제품 개발 및 적합성 테스트도 제공하고 있다. 회원사의 요청에 따라 PC, 스마트폰, HTS(Home Trading System) 등 각종 IT 관련 제품들에 대한 취약성 분석을 해준다. 그리고 금융 감독기관들과 금융회사들을 연결해주는 채널링 기능을 수행한다. 금융회사들에서 어떤 애로사항이나 의견이 있을 때 이를 수렴해 감독기관에 전달하기도 하고 반대로 감독기관의 정책이나 지시사항을 회원사들에 전달해주기도 한다. 협회로서의 업무를 일부 수행하고 있다고 보면 된다. 물론 은행협회나 보험협회 등이 따로 있기는 하지만 IT 보안과 관련해서는 특별히 전문성이 요구되기 때문에 우리 원에서 맡고 있는 것이다. 현재 회원사로 은행사, 보험사, 카드사, 저축은행 등 약 124개사가 가입해 있는데, 최근 대상이 아님에도 불구하고 가입을 요청하는 곳이 늘고 있다. 그만큼 보안이 중요해졌기 때문이라 생각한다. 또 다른 기능은 보안 전문 인력 지원이다. 현재 우리 원이 보유하고 있는 보안 전문 인력은 50여 명에 달한다. 일반 회사에서 보안인력을 충분히 확보하기란 쉽지 않기 때문에 우리가 인력을 지원해주고 있다. 금감원이나 감사원과 같은 정부기관에서 파견요청을 할 때도 있다. 감사·감독에 있어서도 금융보안이 워낙 중요해지다보니 이들 감독 당국에서 우리 금융보안 인력을 활용하고 있는 것이다. 교육사업도 우리의 큰 기능 중 하나다. 보안에 있어 특히 교육이 강조되어야 하는 것이, 정보유출은 시스템이나 전산상의 오류가 아닌 단순한 직원의 실수에서 비롯된 경우가 더 많기 때문이다. 이에 우리 원에서는 온·오프라인으로 금융정보보호아카데미를 운영하고 있다. 온라인 아카데미는 금융회사의 일반 직원들이 대상이고 오프라인 교육은 금융보안 핵심인력들을 대상으로 한, 보다 핵심적이고 체계적인 내용의 교육이다.

“채널링 등 업무 내실화에 충실할 것”

▲ 앞으로 어떠한 사업들이 계획되어 있는가? 특별히 새로운 사업을 벌리기 보다는 기존의 업무를 보다 내실화해야 하지 않을까 생각한다. 우선 회원사가 요구하는 기대에 부응하는 데 주력해야 할 것 같다. 특히 앞서 언급한 금보원의 여러 기능 중 감독당국과 회원사 간을 채널링 해주는 협회적인 성격에 충실할 생각이다. 최근 금융위에서 내려온 정보보안에 대한 모범기준이 있는데 금융회사들마다 소프트웨어나 시스템, 보안수준 등 상황이 천차만별이라 그 모범기준을 그대로 적용하기가 쉽지 않다. 따라서 회원사들의 각 의견을 수렴해 분류, 정리해서 감독당국에 전달하고 대안을 제안하는 역할이 필요하다. 그러나 감독당국이 일일이 금융회사들을 대응하기는 어려움이 있을 것이다. 우리 원이 회원사들 의견을 수집하는 게 훨씬 효율적일 것이다. IT는 전문적인 분야이기 때문에 그런 역할을 수행해줄 기관이 필요하다. 또한 금융이용자들의 정보보호에 대한 홍보를 보다 강화할 생각이다. 교육신청도 급격히 늘어나고 있어 올해 수료자가 10만 명 이상을 돌파할 것으로 예상된다.

▲ 최근의 보안 관련 이슈는 무엇인가? 금융거래에 있어 창구거래는 점차 줄어들고 이제는 대부분이 전자거래로 이뤄지고 있는 추세이다. 금융과 결합된 IT도 그 변화가 엄청나게 빠르다. 스마트폰을 통한 금융거래가 대표적인 예이다. 이와 같은 새로운 디바이스들에 대한 보안은 어떻게 할 것인가가 요즘 금융회사들 사이에서의 최대 현안일 것이다. 이것이 제대로 되지 않으면 사고발생 시 피해가 굉장히 크기 때문이다. 이에 대해 금보원에서는 기본적으로는 피싱 사이트 등을 모니터링해서 알려주는 등 보안 위협사항에 대해 미리 연구해서 회원사들에게 알려주고 있다. 또 앞서 말했듯이 공동으로 연구도 진행하고 모의해킹 같은 것들도 실시하고 있다. 또한 아카데미를 통해 보안의식 고취를 적극적으로 지원하고 있다. 무엇보다 보안의식을 제고하는 게 중요할 것으로 보인다. 많은 침해사고들 대부분이 휴먼 에러(Human Error)로 인한 것들이 많기 때문이다.

“IT와 금융을 보완해주는 역할 할 것”

▲ 정보시스템실에서 근무한 적도 있는데, IT에 대한 생각은? 2004년부터 2005년까지 전산시스템에 관련된 일을 잠시 맡았을 당시 IT에 대한 사회 전반적인 인식이 낮고 다소 홀대하는 경향이 있다는 느낌을 받았었다. 우리 사회가 IT로 인한 편의는 많이 누리면서 IT를 대우하는 데 있어서는 다소 취약하지 않나 싶다. 이러한 현상에는 일반 비(非)IT인들의 편견이 원인일 수도 있고 IT인들이 유연성이나 창의성 면에서 미흡하거나 현업과 소통이 잘 되지 않아 자초한 측면도 없지 않을 것이다. 나는 IT 출신은 아니지만 IT만 전문으로 했던 사람이 볼 수 없는 것들을 보완해줄 수 있는 그런 역할을 할 수 있지 않을까 생각한다. 어쨌든 분명한 것은 IT는 갈수록 더욱 중요해지기 때문에 미래에는 IT에 대한 대우가 더 좋아질 것으로 기대한다. 이미 많은 것들이 달라지고 있다.

▲ 앞으로의 포부는? 금융보안연구원에는 워낙 뛰어난 인재들이 많이 있으니 여러 사업들이야 잘 추진이 될 것이라고 생각한다. 그보다 내가 더 역점을 두어야 할 부분은 즐거운 직장 문화를 만드는 것이 아닐까 생각한다. 조직생활을 30여 년 이상 해왔지만 ‘결국은 사람이다’는 것이 결론이다. 각 조직원들을 배려하고 잠재력을 키워주는 등 직원들이 즐겁게 일할 수 있는 터전을 마련해주는 것이 중요할 듯싶다. 우리 원에는 큰 잠재력을 가진 사람들이 많다. 이들이 전문적인 인력으로 발전해나갈 수 있도록 장을 마련해주고 싶다. 이것은 문화적인 지원이 될 수도 있고 경제적인 대우가 될 수도 있겠다. 금융보안연구원은 금융과 IT가 결합된 독특한 업무이기 때문에 보다 미래에 적합한 비즈니스 분야라고 생각한다. 그런 융합적인 업무를 한다는 것이 금융보안연구원의 장점이자 매력일 것이다. 이제 모든 비즈니스는 융합돼가고 있는 추세다. 일반 기업에서조차 IT, 금융, 통신 등 모든 분야가 결합돼가고 있는 추세다. 여러 분야를 함께 들여다 볼 수 있는 역량이 요구되고 있다.

김광식
1982 성균관대 경영학과 졸업 1982 한국은행 입사 1996 연세대 경영학 석사 졸업 2000 금융감독원 공시감독국 팀장 2004 금융감독원 정보시스템실 팀장 2009 금융감독원 조사연구실장 2010 금융감독원 공보실 국장 2011 금융감독원 기업공시국장 2012 금융보안연구원장