▲나광호 금융부 기자
2014년 카드사 3곳 해킹 사태 이후 오랜만에 사이버보안 사고가 금융권 '태풍의 눈'으로 자리매김했다. 롯데카드의 대고객사과, 금융소비자들의 집단소송을 위한 커뮤니티 개설, 금융당국의 최고정보보호책임자(CISO) 소집, 야당의 간담회 개최 등 다양한 이해관계자들이 책임소재 규명을 위해 바쁘게 움직이고 있다. 이번 사태를 통해 다수의 카드사가 사이버보안 관련 전담 임원을 두지 않았던 것이 드러나는 등 현장의 안이한 대응 프로세스가 명분을 제공한 탓이다.
이와 관련해 권대영 금융위원회 부위원장은 최근 과기정통부와의 합동 브리핑에서 “보안 역량 강화를 위한 종합적인 방안을 준비해 발표하도록 하겠다"고 말했다. 교과서적인 발언이지만 사고가 터지고 난 다음이라는 점이 아쉬움을 낳고 있다.
10년 가까이 큰 사고가 없었던 까닭에 보안 관련 정책이 우선순위에서 밀렸다고 하더라도 해커들의 역량, 해킹 목적이 과거와 다르다는 점은 알려져 있었기 때문이다. 전문가들은 인공지능(AI)과 클라우드 활용으로 사이버 공격에 소요되는 비용과 기간이 단축됐다고 우려하고 있다. 이같은 목소리에 귀를 기울이고 진작부터 솔루션 마련에 나섰어야 한다는 의미다.
이번 사태는 망 분리 규제 도입을 떠올리게 한다. 이는 금융사 내부 전산망과 외부의 인터넷을 분리하는 것으로, 대규모 전산망 마비 사태 이후 적용됐다. 당시에도 외부 충격이 금융소비자 보호를 위한 행보를 재촉했던 셈이다.
더 큰 문제는 망 분리 도입 당시부터 '언젠가 일이 터질 수 있다'는 우려를 샀다는 것이다. 여기에는 내부자 유출 리스크 뿐 아니라 외부망과 접촉하는 과정에서 악성코드 유입 및 정보 유출의 위험이 포함된다.
미국을 비롯한 선진국을 중심으로 '제로트러스트' 방식을 사용하는 이유다. 이는 사용자 신원과 실시간 위험 평가를 고려해 모든 접근 요청을 대상으로 검증하는 보안 모델로, 내·외부 위협에 대한 방어력이 높다. 운영 비용이 낮고 망 분리의 단점으로 꼽히는 신기술 활용성도 끌어올릴 수 있다.
이같은 상황에서 금융사가 관련 인력·예산을 확보해야 한다는 방향으로 기조가 수립되는 것을 중장기적인 대책으로 볼 수 있냐는 의문이 든다. 스포츠계에서는 '구닥다리' 전술의 단점을 비싼 선수로 떼우려는 감독을 무능하다고 평가한다. 우리 금융당국도 이같은 우를 범하는 대신 이번 사태를 계기로 사이버보안 관련 규제를 전면적으로 점검·재편하는 행보로 국민들의 신뢰도 확보하길 기대한다.
![[공시] KT&G, 주주환원 정책 확대…배당 늘리고 2600억 자사주 소각](http://www.ekn.kr/mnt/thum/202509/news-p.v1.20250923.24cd9586cdd3410a9413c465e8e7a432_T1.png)
![[지방銀 풍향계] 전북·광주은행, 추석 특별자금 1.1조 지원 外](http://www.ekn.kr/mnt/thum/202509/news-p.v1.20250923.151ce78a63bb442fbb3edb1dac32404d_T1.jpg)
![[공시] 한진칼, 대한항공 보유 항공기 5대 9000억원 규모 매각](http://www.ekn.kr/mnt/thum/202509/news-p.v1.20250923.4c2a7aec25954ce1b7698892d9211356_T1.jpg)
;){kind=link}