국가안보실 등 정부의지 강경... 한국형 방식 수술대
“글로벌 은행처럼 서버 통제해야” vs “당장 PC 환경 대안 전무해” 정면 충돌

[보안뉴스 특별취재팀] 범부처 차원의 정보보호 종합대책의 일환으로 금융권 설치형 보안 소프트웨어 강제 폐지가 급물살을 타며 대격변이 예고됐다. 정부는 글로벌 스탠더드에 맞춘 근본적 체질 개선을 강력히 요구하고 있으나, 당장 뚜렷한 대안이 없는 은행과 증권사는 사고 책임까지 져야 할 위기에 처하며 패닉에 빠졌다.

29일 업계에 따르면 정부는 최근 금융권 보안 담당자를 불러 ‘금융권 설치형 보안 소프트웨어 개선 관련 회의’를 진행했다. 이 자리에서는 금융권 설치형 보안 소프트웨어 감축·전환 로드맵에 대한 실행 방안 논의를 비롯해 업권별 의견을 수렴한 것으로 알려졌다. 

이번 조치는 학계의 잇따른 경고와 정부의 강력한 정책 의지가 맞물린 결과로 풀이된다. 앞서 카이스트 연구진은 웹 브라우저 보안을 우회하는 국내 의무 보안 소프트웨어의 구조적 취약점을 지적하며 근본적인 패러다임 전환을 촉구한 바 있다. 

여기에 작년 발표된 정부의 ‘범부처 정보보호 종합대책’이 더해지면서, 고질적인 한국형 보안 갈라파고스 환경에서 과감히 탈피하겠다는 정부의 의지가 반영된 셈이다. 범부처 정보보호 종합대책에 따르면, 정부는 소비자가 금융 업무를 볼 때마다 의무적으로 PC에 깔아야 했던 ‘설치형 보안 소프트웨어’(키보드 보안, 방화벽, 백신 등) 레거시 보안 소프트웨어를 올해부터 단계적으로 제한한다.

(중략)

현장의 분위기는 폭풍 전야다. 익명을 요구한 금융권 보안 담당자 A씨는 “정부의 취지나 방향성에는 십분 공감하지만, 당장 고액 자산가나 중장년층이 주로 사용하는 PC 인터넷뱅킹과 증권사 거래 시스템(HTS) 환경에서는 대안 솔루션이 아예 없는 상황”이라며 “대체 가능하다고 보고했던 건 모바일 뱅킹 이야기였지, PC 환경까지 당장 올해 안에 다 걷어내라는 지시가 내려올 줄은 꿈에도 몰랐다”고 말했다.

더 큰 뇌관은 사고 발생 시 배상 책임에 있다. 그동안 설치형 보안 프로그램은 해킹 등 금융사고에서 금융권이 “의무 보안 조치를 다했다”고 주장할 수 있는 일종의 법적 방어막 역할을 해왔다.

또 다른 보안 담당자 B씨는 “가장 두려운 것은 책임 소재로, 글로벌 스탠더드처럼 사고에서 금융사가 수십, 수백억원의 책임을 떠안을 수 있다는 가능성 자체가 엄청난 공포”라며 “이에 대한 법적·제도적 완충장치나 가이드라인도 없이 시스템만 걷어내라고 하면 업계는 방법이 없다”라며 현장의 딜레마를 토로했다.

작년 연이은 해킹 사태 이후 종합대책을 마련한 정부의 의지와, 현실적인 한계를 호소하며 시간이 필요한 금융권 사이의 줄다리기는 당분간 불가피할 전망이다. 이번 사안이 단순한 금융 규제 개선을 넘어 ‘국가 사이버 안보 확립’이라는 거시적 명분과 맞닿아 있는 만큼, 현실적인 책임 소재를 두고 고심하는 업계와의 물밑 진통은 한층 더 깊어질 것으로 보인다.

https://www.boannews.com/media/view.asp?idx=142897