[뷰앤비전]금융정보보호 첫걸음은 보안교육

김광식 금융보안연구원장

사람은 망각의 동물이라 했던가? 19세기 독일의 심리학자 헤르만 에빙하우스는 16년간의 실험을 통해 사람의 기억력에 한계가 있다는 것을 발견했다. 일반적으로 한 번 암기한 것은 10분 뒤부터 잊어버리기 시작해 1시간 뒤에는 50%, 하루 뒤에는 70%를, 한 달 뒤에는 무려 80%를 기억하지 못한다는 것이다.

주요거래 은행으로부터 포털사이트 정보유출로 인한 피해가 발생했으니 보안승급을 하라는 문자메시지가 최근 문제다. 일종의 피싱사기로 전문적으로는 파밍이라고도 한다. 이 사이트는 대단히 정교해 웬만한 전문가라도 속아넘어가기 쉽다. 문자에 표시된 허위 전화번호와 홈페이지는 주의를 기울이지 않으면 진위여부를 따질 수 없도록 교묘하게 돼 있기 때문이다.

평소 스마트폰의 SMS(단문서비스)를 이용한 금융사기 위협 사례와 금융정보보호에 대한 경각심의 중요성을 충분히 알고 있다고 생각하지만 실제 상황에 놓이게 되면 침착하게 대처하기가 쉽지 않다.

전자금융서비스 환경의 끊임없는 변화는 생활의 편리함과 함께 더욱 치밀해지고 고도화되는 보안위협이라는 양면성도 불러 왔다. 이런 보안위협에 대응하기 위한 기술 수준이 발전함에 따라 상대적으로 보안에 취약한 인적 요소로 공격목표를 옮기고 포털사이트 등의 대규모 해킹으로 국민의 절반 이상의 개인정보가 유출된 상황을 악용해 불안 심리를 교묘히 공략하고 있다.

N은행의 해킹사태, S카드를 비롯한 대형 카드사의 고객정보유출 사고 등 지난해 발생한 다양한 금융정보보호 사고를 살펴보면 전ㆍ현직 내부 직원이나 외부 협력업체 직원으로 인한 인재(人災)가 많았다.

내부자에 대한 보안 대응책은 절차나 형식보다는 개인에 대한 신뢰에 기반을 두고 있기 때문에 내부자가 조직 내 시스템의 취약한 구조와 내부통제의 허점을 노린다면 보안 사고를 막기 어려우며 피해 규모도 엄청나게 커지는 것은 자명하다. 게다가 개인의 금융정보가 대출업체, 도박 사이트, 보이스피싱 조직 등에 건당 10원에서 많게는 수 만원에 되팔리는 등 정보의 현금화가 용이한 현실은 내부자가 쉽게 검은 돈에 현혹될 수 있는 환경을 조장하고 있다.

하지만 인적 보안위협요소를 금융정보보호에 대한 체계적이고 전문화된 교육으로 꾸준히 관리한다면 인재에 따른 보안사고 위험은 크게 줄어들 수 있다. 다행인 것은 지난해부터 금융회사 임직원의 금융정보보호 교육에 대한 인식변화가 나타나고 있다는 점이다. 금융회사가 자체적으로 컨텐츠를 개발ㆍ운영하거나 외부 강사초빙을 통해 금융정보보호 관련 특강을 진행하기도 한다.

개인적으로는 여기에 금융정보보호교육 전문기관 활용 방법을 추천한다. 금융정보보호는 금융, IT, 보안에 대한 전반적인 지식이 필요한 특화된 영역이므로, 관련 노하우가 있는 전문기관에서의 체계적인 교육이 요구된다.

최근 금융보안연구원이 운영하고 있는 금융정보보호 아카데미 온라인 사이트의 수강인원이 12만명을 넘어섰다. 연말까지는 15만명의 인원을 예상하고 있다. 이는 지난해 대비 3배 이상 증가한 수치로 금융정보보호 교육에 대한 금융회사의 높은 관심과 참여를 반영한 것으로 생각된다.

금융정보보호 강화를 위한 긍정적인 움직임에 한 가지 더 바란다면 어떤 교육방법을 선택하더라도 단순한 이수에서 그치지 않고 지속적인 학습을 통한 인식환기와 체득화가 필요하다는 것이다. 바쁜 일정에도 시간을 투자해 진행하는 만큼 법적 규제에 따라 의무적으로 받는 교육이 아닌 자발성이 요구된다. 나의 사소한 부주의와 실수가 회사의 미래를 좌우할 수 있다는 사실을 명심하고 스스로의 보안의식을 강화하고 윤리의식을 고취해야 하는 노력이 더 중요하다는 뜻이다.

김광식 금융보안연구원장