오중효 금융보안원 디지털전략본부장 해킹 위협은 기획ㆍ설계 단계부터 비즈니스 리스크 전문가 양성 및 금융사‘사이버위생’문화 정책 시급해 와의 인터뷰에서 최근 급증하고 있는 금융사고에 대한 인식을 전환해 보안을 비용이 아닌 비즈니스를 위한 필수 투자로 봐야 한다고 강조했다./사진:금융보안원 제공" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/02/552780-oDemFX5/202602020720116 바다이야기무료 70iwli.jpg" data-org-width="700" dmcf-mid="4gGbUmGh1Y" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/02/552780-oDemFX5/20260 황금성릴게임 202072011670iwli.jpg" width="658"> 오중효 금융보안원 디지털전략본부장은 <대한경제>와의 인터뷰에서 최근 급증하고 있는 금융사고에 대한 인식을 전환해 보안을 비용이 아닌 비즈니스를 위한 필수 투자로 봐야 한다고 강조했다./사진:금융보안원 제공 온라인야마토게임[대한경제=최장주 기자]“글로벌 선진 금융회사들은 이사회 차원에서 보안 이슈를 검토해 신규사업 추진 여부를 결정합니다. 보안을 단순 지원 업무가 아닌, 비즈니스 리스크를 관리하는 핵심 투자로 인식하기 때문입니다” 금융권 사이버 보안 최전선에 서 있는 오중효 금융보안원 디지털전략본부장은 <대한경제>와 만나 최근 급증하고 있는 해 오션파라다이스릴게임 킹 등 금융사고에 대해 ‘인식의 전환’을 가장 먼저 강조했다. 금융보안원 디지털전략본부는 AI·클라우드·디지털자산 등 신기술 보안 전략 수립과 평가를 전담하며 금융권의 보안 혁신을 지원하고 있다. 오 본부장은 “보안을 비용이 아닌 비즈니스를 위한 필수 투자로 봐야 한다”며 “모든 금융서비스의 기획ㆍ설계 단계에서부터 보 모바일바다이야기 안의 중요성과 리스크를 인식해야 한다”고 밝혔다. 또한 최근 금융권보안 사고의 주된 원인은 “고도화된 신기술보다 기본적인 관리 미흡”이라며 “금융당국이 규정한 체크리스트 준수에만 머물 것이 아니라 각 금융사가 스스로 보안 수준을 진단하고 부족한 부분을 보완하는 ‘자율보안’ 역량이 중요하다”고 설명했다. 그도 그럴 것이, 벌써 수년전부터 금융보안을 강조하고 있지만 사건, 사고는 끊이지 않고 있다. 특히 2025년은 ‘신뢰’를 생명으로 여기던 금융권이 사이버 공격과 관련, 민낯을 드러낸 한 해라고 할 수 있다. 은행 및 카드, 보험, 증권 등 금융업권 전역에서 온갖 해킹 시도와 정보 유출 사고가 빈발하면서 화려한 디지털 혁신(DT) 이면에 가려져 있던 기초 보안의 취약함이 여실히 드러났다. 금융보안원의 분석에 따르면 지난해 금융권 보안 사고의 공통점은 고난도 기술이 아닌 ‘관리의 부재’였다. 가장 대표적인 사례인 롯데카드 해킹사고도 최신 해킹 기술에 뚫린 것이 아니라 온라인 결제 서버의 보안패치 미적용이 핵심 원인이었다. 이는 이미 지난 2017년에 공개돼 패치까지 배포된 상태였는데 8년 가까이 방치되면서 297만 명에 달하는 고객정보 유출사고로 이어졌다. 이 중 28만 명은 카드번호와 유효기간 등 실질적인 결제 정보까지 노출되는 피해를 입었다. 7월 발생한 SGI서울보증의 랜섬웨어 사고 역시 시사하는 바가 크다. 내부시스템의 랜섬웨어 감염이후, 신속한 대응 및 복구를 통해 서비스 중단에 따른 피해는 크지 않았으나 침투 경로 분석 결과, 접근 권한 통제의 허점이 확인됐다. 이외에도 아이엠뱅크, KB라이프생명, SC제일은행 등 권역을 가리지 않고 디도스(DDoS) 공격과 해킹 시도가 실제화됐다. 결과적으로 최신 보안 설루션의 부재보다, 제때 패치를 적용하지 않거나 계정 및 권한 관리를 소홀히 하는 등 ‘기본 수칙’ 미준수가 사고의 직접적인 원인으로 지목됐다. 공격자가 고난도 신기술을 동원하기보다 금융사 내부의 ‘기본적인 틈’을 파고들었다는 점이 2025년 보안 실패의 핵심이다. 오 본부장은 이를 극복하기 위해서는 “무엇보다 전문인력 확충이 시급하다”고 강조했다. 금융회사들이 취약점 진단과 모의해킹(Red Teaming)을 수시로 수행해 자체 역량을 키우려 해도, 이를 담당할 전문인력 확보가 쉽지 않다는 것이다. 그는 “보안은 기계ㆍ설비에 가까운 시스템 운영만으로 끝나는 일이 아니라, 위협 상황을 분석하고 판단해 대응하는 과정에서는 반드시 전문인력이 필요하다”면서 “금융권의 자율보안 안착을 위해서라도 개별 회사의 투자뿐 아니라 국가 차원에서 화이트해커 등 전문인력 양성에 팔을 걷어 붙여야 한다”고 제언했다. 그러면서 보다 구체적인 실행론을 제시했다. 오 본부장은 “(당장 전문인력을 확보하기 어렵다면) 보안 훈련을 연 1회성 이벤트가 아닌, 수시로 반복해 임직원이 매뉴얼대로 행동하도록 체화하는 것이 중요하다”며 “보안을 일상적인 조직문화로 안착시켜야 한다”고 말했다. 실제 해외 주요 금융기관의 경우 불시에 전 직원에게 훈련용 해킹 메일을 발송하고, 대응 절차를 준수하지 않을 경우 인사평가에 반영하고 있다. 코로나 때 전 국민이 손 씻기를 생활화했듯 금융권 임직원도 의심스러운 메일과 링크를 검증하는 것이 숨 쉬듯 자연스러운 ‘사이버 위생(Cyber Hygiene)’문화가 정착돼야 한다는 주장이다. 이와 함께 앞으로는 ‘(회사)내부자라서 안전하다’는 전제 자체를 재검토하는 제로 트러스트(Zero Trust) 전략을 검증하는 한편, CISO(정보보호최고책임자)와 보안조직의 역할을 뒷받침하는 거버넌스가 중요하다고 당부했다. 오 본부장은 “보안은 특정 부서나 담당자 혼자만의 노력으로 완성될 수 없다”며 “전사적 관심과 참여 속에 보안이 조직 문화로 자리 잡을 때, 어떤 지능형 공격에도 빠르게 회복할 수 있는 ‘사이버 복원력’을 갖출 수 있을 것”이라고 힘 줘 말했다. 최장주 기자 cjj323@ 〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉