[CCTV뉴스=조중환 기자] 최근의 혼란한 정국과 국내외 상황을 악용해 특정 공공기관과 금융업체를 타깃으로 지능적인 사이버 테러와 랜섬웨어 공격이 증가할 것으로 예측되고 있다.
특히, 2016년 전세계 1000명 이상의 IT 보안 전문가를 대상으로 실시된 조사에서 DDoS 공격을 받았던 조직의 85%는 1번 이상의 공격을 경험했고, 44%는 5번 이상 경험한 것으로 밝혀졌다. 지난 2016년에 이어 올해도 무선공유기 등 취약한 사물인터넷(IoT) 기기를 통한 대규모 DDoS 공격이 예상되는 만큼 정부는 그 피해의 심각성을 인지해 지난 3월부터 적극적으로 대응하고 있다.
본지는 이번 인터뷰를 통해 갈수록 고도화 돼가고 있는 새로운 유형의 보안위협에도 안전한 금융환경 조성을 위해 앞장서고 있는 금융보안원을 찾아 금융보안 관점에서 바라본 블록체인의 모습을 생생히 들어본다.
[릴레이인터뷰] ③ 전 융 금융보안원 보안전략본부 본부장
Q. 금융보안원과 융합보안부에 대해 소개 부탁한다.
A. 금융보안원은 안전하고 신뢰할 수 있는 금융환경을 조성하여 금융 이용자의 편의 증진과 금융산업의 발전에 기여하기 위한 ‘금융보안전담기구’로 2015년 4월에 설립됐다. 주요 업무로는 금융부문 통합보안관제와 침해대응, 침해정보 공유, 취약점 분석∙평가, 금융보안 정책∙기술 연구, 정보보호관리체계 인증, 신규 기술과 서비스에 대한 보안성 검토∙시험, 핀테크 지원, 개인정보비식별 조치 지원 등 종합적인 금융보안 서비스를 제공하고 있다.
융합보안부는 금융업체의 자율 보안을 지원하기 위해 신기술이 적용된 금융 서비스에 대한 보안성 검토, 보안적합성 시험과 비대면 실명확인 서비스 보안성 검증 등을 제공하고 있으며, 금융권 정보보호관리체계 인증업무를 시행하고 있다.
또한, 블록체인과 같은 새로운 신기술에 대응하기 위해 핀테크 전담팀을 구성해, 핀테크 기술에 대한 보안컨설팅과 진단, 블록체인 테스트베드 구축 등을 추진하고 있으며, 빅데이터 활용을 위한 개인정보비식별 조치 지원 업무도 담당하고 있다.
Q. 2017년 금융보안 주요 이슈는 무엇인가?
A. 금융보안원은 금융 IT∙보안 트렌드 분석을 통하여 ‘2017년도 금융 IT∙보안 10대 이슈를 선정하고 관련 전망보고서를 공개한 바 있다.
금융IT에서도 인공지능, 빅데이터 등 4차 산업혁명의 기반 기술과 블록체인, 바이오인증 등 신기술이 연계된 새로운 금융 서비스의 출현이 예상되고, 이런 서비스에서 발생하는 새로운 보안 이슈에 대한 지속적인 대응책 마련이 필요한 상황이다.
금융보안에서는 해킹 등 공격 기술도 인공지능을 활용할 것으로 예상돼, 공격을 탐지하고 방어하기 위한 인공지능 보안기술이 중요한 이슈로 예상되고 있다. APT(Advanced Persistent Threat), 진화된 변종 표적형 랜섬웨어 등 전통적인 공격기술은 올해에도 지속적인 대응이 필요하다. 최근 보안 사고의 많은 부분이 여전히 내부자, 외주 인력 등 사람의 실수에 의해 발생하고 있어 이에 대한 대책도 중요하다.
▲ APT 사례: 해커그룹 ‘카바낙(Carbanak)’은 전 세계 30개국 ATM을 해킹해 2년(2014~20155)간 1조원 탈취
▲ 제3자 및 내부자 사고 사례: 2016년 2월 정보보호업체의 보안프로그램 배포에 사용되는 코드사인인증서 유출
Q. 어느 때 보다 금융사이버 위협의 중요성이 부각되고 있다. DDoS, 랜섬웨어 등 사이버 테러에 대한 보안 대응은 어떻게 준비하고 있나?
A. 금융보안원은 2017년 3월 웹 서버(Apache Struts) 신규 취약점을 이용한 공격을 최초 발견해 금융업체와 유관기관에 정보를 공유하고, 사고를 미연에 방지한 바 있다. 이렇듯 침해사고대응기관으로서 북한 등 요주의 IP대상으로 집중 모니터링 중이며, 유사시 즉시 활용할 수 있도록 디지털포렌식 조사반과 DDoS 비상대응센터를 상시 대기 상태로 유지하고 있다. 또 공공, 민간 침해대응센터와의 정보공유체계를 활용해 정보를 신속히 공유하고 있으며, 이를 금융업체와도 상시 공유하면서 대응해 나가고 있다.
한편 금융업체의 사이버 테러 대응을 지원하기 위해 금융권 신규취약점 분석과 대응, 테마 점검 실시 등을 진행하거나 계획하고 있다.
Q. 미래 금융의 핵심 인프라인 블록체인에 대해 금융권과 금융 보안의 관점에서 어떤 잠재력을 갖고 있다고 평가하고 있나?
A. 블록체인 기술은 비트코인이란 화폐의 형태로 세상에 소개됐다. 그런 이유로 다른 산업권역에 앞서 금융권에서 먼저 관심을 갖게 됐다. 비트코인에서 보여준 바와 같이 블록체인은 기본적으로 거래 데이터의 무결성을 제공해 거래의 신뢰를 보장한다. 따라서 블록체인으로 금융인프라를 만들면 제3자의 개입 없이 거래 당사자만으로도 신뢰할 수 있는 금융환경을 만들 수 있는 것이다. 이런 신뢰 기반 인프라는 다양한 금융시스템 구성에 활용할 수 있다고 평가하고 있다..
다만 블록체인을 적용한다고 해서 무결성 외에, 모든 보안문제가 해결되는 것은 아니기 때문에 금융거래에 필요한 보안 사항은 별도로 고려해야 한다.
Q. 블록체인에 대해 금융보안원은 어떤 전략과 과제를 가지고 있는가?
A. 금융보안원에서는 금융업체들이 블록체인 사업을 추진할 수 있도록 적극적으로 지원하고 있다. 고객인증, 전자문서 보관 등 블록체인 기술을 금융업무에 적용하는 것과 관련해 보안컨설팅이나 보안성 검토를 제공하고, 금융권역 별 컨소시엄에 대한 자문과 기술 실무에 이르기까지 블록체인 활용에 대해 지원 중이다.
또한 자체적으로 테스트베드를 구축해 블록체인 성능에 대한 테스트와 블록체인 기술의 금융업무 적용 가능성을 탐색하는 기술검증을 진행할 예정이다. 이런 과정을 통해 금융권에 가장 적합한 블록체인 모델을 찾아갈 계획이다. 더불어 앞으로도 블록체인 기술의 안전한 사용이란 측면에서 지속적으로 금융보안원의 역할을 찾아갈 계획이다.
Q. 금융권에서 시작된 블록체인은 현재 어느 수준에 도달해 있나?
A. 현재까지 금융권에서 서비스 중인 모델은 고객인증, 비대면 실명확인 증빙자료 보관, 골드바 인증서 발행 등 블록체인의 무결성을 직접적으로 활용하는 것에 집중돼 있다. 또한 일부 금융업체들은 기술검증 등을 통해 해외송금, 장외채권 거래 등 블록체인을 다양한 금융거래에 활용하기 위한 탐색 또한 적극적으로 진행하고 있다.
금융거래에 대한 블록체인 적용이 보다 활성화되기 위해서는 금융업체 간 협업이 필수다. 금융권 블록체인 컨소시엄에서 추진중인 블록체인 기반 고객인증 프로젝트가 성공적으로 진행되면 향후 다른 금융서비스에도 블록체인 적용이 활발하게 이뤄질 것으로 예상하고 있다.
Q. 지난해부터 금융시장에서 블록체인 기술에 대한 관심과 기술 도입에 속도가 빨라지는 것 같다. 주목 받는 이유는 무엇 때문이라고 생각하나?
A. 그동안 블록체인 기술은 처리속도, 확장 가능성, 안정성 등에 있어서 초기기술로서의 한계를 보여왔기에 수년간 다양한 기술 검증만 이뤄지고 있을 뿐 실제 업무에 대한 적용은 초기 단계에 불과하다. 하지만 국내외 금융권에서도 다양한 기술검증 경험이 축적됨에 따라 금융업체들이 이런 한계에 대한 가능성과 방법에 대해 어느 정도 확신을 하게 됐다.
또한 기술적 관점에서도 가능성을 넘어 현실화 가능한 시점으로 넘어오고 있는 상황이다. 해외에서는 R3CEV, 하이퍼렛저 프로젝트 등을 통해 다양한 블록체인 소프트웨어가 공개됐으며, 활용 방안과 기술 개선 또한 적극적으로 추진되고 있다. 국내에서도 초기에는 핀테크 스타트업을 중심으로 블록체인 기술 개발이 진행된 데 비해, 이제는 대기업들도 적극적으로 기술개발을 추진하고 있는 중이다.
Q. 금융권의 블록체인 본격 상용화는 언제쯤으로 예상되는가? 또한 그로 인한 금융시장은 어떻게 변화할 것이라 생각하나?
A. 개별 금융업체별로 블록체인을 적용하기 위한 업무별 기술검증과 서비스 상용화가 진행되고 있다. 이런 가운데 금융권 전체적으로는 ‘금융권 블록체인 협의회’를 출범해 금융권역 별로 블록체인 사업을 추진하고 있다. 또 은행권역(16개 은행)과 금투권역(25개 증권사)으로 구성된 ‘금융권 공동 블록체인 컨소시엄’은 올해 안에 블록체인을 고객인증 업무에 적용한 파일럿 서비스를 개시할 예정이다.
중장기적으로 금융권의 블록체인 상용 서비스 적용 시점을 예측하기는 어렵다. 다만, 현재 금융권 블록체인 컨소시엄에서 추진중인 고객인증 업무에 대한 블록체인 적용이 성공적으로 이뤄진다면 금융권역 별 핵심 업무에 대한 블록체인 적용의 시금석이 될 것이라고 생각한다.
Q. 제4차 산업혁명의 시대에 대비해 금융보안원은 어떤 준비를 하고 있나?
A. 4차 산업혁명 시대의 핵심적 변화는 빅데이터 등에 기반을 둔 인공지능(AI)과 머신러닝에 의한 인간 지식노동 대체라고 생각된다. 블록체인의 경우도 인공지능과는 약간 다르지만 소프트웨어에 의한 인간 지식노동의 대체라는 측면에서는 4차 산업혁명의 중심 흐름으로 보기에 무리가 없다.
디지털화된 정보가 많아지고 컴퓨터가 자동으로 처리하는 업무가 늘어날 수록 정보보호의 중요성은 더욱 높아진다. 이미 금융보안원에서는 4차 산업혁명에 발 맞춰 빅데이터 활용을 위한 비식별 조치 전문기관 역할, 인공지능이 도입된 로보어드바이저에 대한 보안성 심사, 블록체인 기반 조성을 위한 기술과 보안 지원 등을 수행하고 있다.
아울러 4차 산업혁명 시대에는 이런 기술이 상호 융합돼 등장하는 것에도 적극 대비할 계획이다.
Q. 블록체인 선도 국가들의 추진 현황을 보면 블록체인 기술 상용화를 위해 국가 차원에서 빠른 변화를 주도하고 있다. 이 흐름에 대해 금융위와 금융보안원이 대비하고 있는 현안과 계획은 무엇인가?
A. 블록체인은 새로운 형태의 기술이기 때문에 기존 기술에 맞춰진 규제의 틀로는 활성화에 많은 어려움이 있다. 따라서 금융위원회에서는 금융권 블록체인 협의회를 운영 중이며 규제 테스트베드 운영을 추진하고 있다. 이를 통해 블록체인 활성화에 필요한 규제 검토를 포함해 활성화에 필요한 다양한 정책적 지원을 마련할 계획이다.
금융보안원은 금융보안 전담기구로서 금융위의 정책 추진에 필요한 부분을 적극 지원해, 금융권 내 안전한 블록체인 생태계 조성에 기여한다는 방침이다. 특히 금융업체가 추진하는 블록체인은 컨소시엄형으로 공개형에 비해 보안 측면에서 고려해야 할 점이 많다. 무결성과 투명성을 기본으로 하는 블록체인의 특성으로 인해 기밀성 확보를 위한 기술을 추가로 적용해야 할 뿐 아니라, 신뢰할 수 있는 제3자의 개입을 전제로 마련돼 있는 국내 정보보호 규제와의 타협점도 찾아야 한다. 금융보안원은 이 같은 점을 고려해, 금융업체 블록체인 상용화에 대비한 보안 관제, 취약점 점검 등을 적극 지원할 예정이며, 내부적으로도 테스트베드를 구축해 사전 리허설 등을 추진할 예정이다.
Q. 금융권에도 4차 산업혁명시대가 도래한 지금 향후 금융보안 전담기구로써 중심축 역할을 기대하며 한마디 부탁한다.
A. 앞으로 금융서비스는 인공지능, 빅데이터, IoT, 클라우드 등 4차 산업혁명을 주도하는 IT 기술과 융합의 물결을 타고 눈부시게 진화할 것이다. 그 진화는 새로운 보안 이슈를 야기하고, 한층 높은 수준의 금융 보안을 요구하게 될 것이다. 금융보안원은 안전한 금융산업의 진화가 이뤄질 수 있도록 앞으로도 지속적으로 노력하겠다.
