보안 사고 책임은 CEO를 포함한 최고경영진에 있어
내부 보안 역량 미흡⋯업무제한
금융당국이 SK텔레콤 유심정보 유출 사태를 계기로 주요 금융사의 정보보호 최고책임자(CISO)를 긴급 소집하고 사이버 보안 점검과 체계 정비를 주문했다. 보안사고는 최고경영자(CEO)에게 직접적인 책임이 있다는 점을 강조하며 실질적인 대응 체계 마련을 요구했다.
금융감독원은 15일 이세훈 수석부원장 주재로 서울 여의도 본원에서 ‘금융권 CISO 간담회’를 열고 최근 고조된 사이버 위협 동향과 금융권 대응 상황을 점검했다고 밝혔다.
이날 회의에는 농협은행, 우리은행, 하나은행, 카카오뱅크 등 은행을 포함해 미래에셋증권, 토스증권, 삼성생명, KB손해보험, 신한카드, 현대캐피탈 등 10개 금융사의 보안 책임자들이 참석했다. 금융보안원, 은행연합회, 금융투자협회, 생명·손해보험협회 등 유관기관도 함께 자리했다.
금감원은 최근 금융권에서 침해사고가 잇따르고 있으며 이동통신사 해킹에 따른 부정거래 등 2차 피해도 우려되는 상황이라고 진단했다.
최근 국내 금융권에서는 △ID·패스워드 무차별 대입 공격(3월) △사내 그룹웨어 시스템 마비(4월) △IT 외주업체를 통한 고객정보 유출(4월) 등 사이버 사고가 연이어 발생하고 있다. 특히 클라우드 도입 확산으로 외부와의 연결성이 커지면서 ‘공격표면(attack surface)’이 확대되는 등 보안 위협이 더욱 복잡·다양해지고 있다는 지적이다.
해외 사례도 심상치 않다. 지난 1월 미국 대출기관 론디포(LoanDepot)는 랜섬웨어 공격으로 1600만 명의 고객정보가 유출됐고, 6월에는 스페인 산탄데르은행(Santander)에서도 최대 3000만 명의 정보가 노출됐다. 호주 연금기금(AustralianSuper)은 지난 4월 해킹으로 고객자금 50만 달러의 손실을 입었다.
이에 따라 IMF와 금융안정위원회(FSB) 등 국제 감독기구는 사이버 사고의 시스템 리스크 전이를 우려하며 공동 대응지침 마련에 나섰고, 유럽연합(EU)은 '디지털 운영복원력법(DORA)'을 통해 사고 대응 보고의무 △복원력 테스트 △정보공유체계 강화를 의무화하고 있다.
금감원도 금융권 사이버 보안 체계 전반에 대한 관리·감독을 강화하고 있다. 현재 SK텔레콤 유심정보 유출 사고와 관련해 금융권 전반에서 2차 피해가 발생하는지를 비상대응본부를 중심으로 일일 모니터링 중이다. 정보공유 확대와 IT 보안 체계 개편도 추진 중이다.
이세훈 수석부원장은 “보안 사고는 곧 회사의 치명적 손실로 이어질 수 있으며 그 책임은 CEO를 포함한 최고경영진에게 있다”며 “CISO는 이사회에 주요 보안 이슈를 충실히 보고하고 최고 경영진의 보안 리더십이 실효적으로 작동되도록 해야 한다”고 말했다.
또 외형 확장에 치중하면서도 내부 보안 역량이 미흡한 금융회사에 대해선 “영위할 수 있는 업무의 범위나 규모에 제한이 불가피하다”고 경고했다. 대선 등 정치적 이벤트를 틈탄 사이버 공격 가능성에 대해서도 특별한 주의가 필요하다고 강조했다.
금감원은 앞으로 금융보안원과 정보공유 및 협력 강화를 위한 업무협약(MOU)을 체결하고 하반기까지 실시간 쌍방향 통합 관제체계를 구축할 계획이다. 아울러 규모가 작은 금융사나 외부 위탁업체를 포함한 사각지대에 대한 점검과 컨설팅도 강화할 방침이다.
!['아이돌의 아이돌' 빅뱅, 어떤 차 몰까…개성 넘치는 이들의 콜렉션 [셀럽의카]](https://img.etoday.co.kr/crop/320/200/2188410.jpg)