금보원? KISA?…해킹과의 전쟁 '사이버보안 컨트롤타워'가 없다

(서울=뉴스1) 정지윤 기자 = 최근 롯데카드 등 대규모 금융권 해킹 사고가 발생하면서 국내 금융 보안 관리 체계가 다시 도마에 올랐다. 특히 금융권 보안 사고는 피해 규모와 사회적 파급력이 큰 만큼 보안 기관들의 협력과 이들을 아우르는 범부처적 대응 필요성이 제기되고 있다.

23일 금융권에 따르면 롯데카드가 최초로 첫 해킹 공격을 받은 것은 지난달 12일 새벽이다. 이날 오후 금융보안원은 롯데카드에 정보보호 및 개인정보보호 관리 체계(ISMS-P) 인증을 수여했다.

이후 롯데카드는 지난달 26일 해킹 공격 사실을 인지했고, 6일이 지난 이달 1일이 돼서야 금융감독원에 보고했다.

금융보안원이 국내 최고 수준 관리체계 인증인 ISMS-P를 수여한 롯데카드에서도 해킹 사고 발생한 사실이 알려지면서, 국내 금융 보안을 비롯한 국가 정보보호 체계를 재정비해야 한다는 목소리도 나온다.

현재 우리나라의 보안 관리 체계는 공공과 민간 분야로 역할이 쪼개져 있다. 공공 부문은 국가정보원, 국방 관련 분야는 국방부가 각각 관할한다. 민간 영역은 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 맡고 있다.

민간 분야 중에서도 금융권의 해킹 사고 및 개인정보 관리는 금융보안원이 담당한다. 금융권의 보안 분야의 경우 민간 기업에 적용되는 정보통신망 이용 촉진 및 정보 보호법이 아닌 전자금융거래법과 신용정보 이용 보호법을 적용받기 때문이다.

이는 분야별 특성과 전문성을 고려한 체계지만, 최근 금융권 해킹 사고가 발생하면서 보안 기관 간 정보 공유가 원활하지 않고 초기 대응이 늦어질 수 있다는 문제가 지적됐다.

염흥열 순천향대 정보보호학과 교수는 "KISA가 여러 조사 경험도 있고 전문 인력도 확보하고 있기 때문에 금보원과 협력해서 조사나 원인 분석을 한다면 여러 산업 부분에서 대응할 수 있을 것"이라며 "앞으로 법 개정을 통해 거버넌스를 높여주는 것이 필요해 보인다"고 했다.

이에 따라 일각에서는 기관 간 보안 정책을 총괄하는 통합 관리 체계를 마련해야 한다도 나온다. 보안 사고는 영역을 가리지 않고 발생하는 만큼 분야별로 쪼개진 대응보다 일원화된 컨트롤타워가 필요하다는 것이다.

현재 국내 사이버보안은 국가안보실 3차장인 사이버안보 비서관이 국방 외교, 민간, 금융 등 분야의 사이버 보안을 총괄하는 역할을 맡고 있다.

다만 최근 금융권을 비롯한 산업 전반에서 해킹 사고가 연이어 일어난 만큼 각 분야를 조율할 국가 차원의 보안 기관을 구축해야 한다는 주장에 힘이 실리고 있다.

주요 선진국들의 경우 미국은 국토안보부 산하 사이버·인프라보안국(CISA), 영국은 국가사이버보안센터(NCSC)를 설치했다. 일본은 지난 7월 내각 산하 240명 규모의 국가사이버통괄실을 신설해 사이버안보 컨트롤타워 역할을 맡겼다.

염 교수는 "국가안보실 3차장은 이전 정권에서 '국가 사이버안보 전략'을 발표하면서 생긴 직책이기 때문에 이번 정부에서 새로운 컨트롤타워를 세울지 아직은 구체적으로 나와 있지 않은 상황"이라며 "다만 최근 국민 불안이 커진 상황인 만큼 현재 컨트롤타워라고 할 수 있는 사이버안보비서관이 활동을 보여줘야 할 때"라고 말했다.

한편 금융당국은 최근 SGI서울보증, 웰컴금융그룹에 이어 롯데카드 등 해킹 사고가 연이어 발생하자 징벌적 과징금' 등 제도 개선에 나서는 등 엄정 대응을 예고한 상태다.

금융위원회는 23일 오전 서울 여의도에서 은행, 카드 등 전 금융권 정보보호 최고책임자(CISO)들과 만나 보안 관리를 주문할 방침이다.

권대영 금융위 부위원장은 이 자리에서 금융사들에 철저한 보안 관리를 당부하는 것과 함께 CISO의 권한 강화 등을 설명할 것으로 보인다.

stopyun@news1.kr