보안 강화 위한 전문가 영입
내부보안 '시한폭탄' 우려도
[아시아경제 고형광 기자] 2011년 농협 전산망 마비와 지난해 3·20 사이버 공격 등 금융 보안 사고가 끊이지 않자 일부 은행들이 화이트해커(보안전문가로 활동하는 선의의 해커) 영입에 나서고 있다. '해커는 해커로 막는다'는 일종의 이이제이(以夷制夷) 전략이다. 다만, 화이트해커들이 '딴마음'을 먹을 경우 대형 금융사고로 이어질 수 있다는 점에서 이들의 채용을 놓고 은행들마다 찬반 의견이 엇갈리고 있다.
24일 은행권에 따르면 KB국민은행은 내부 보안 강화를 위해 얼마 전 화이트해커 출신 보안 전문가를 채용했다. 국민은행 고위 관계자는 "해커들의 해킹 방식은 누구보다 해커 자신들이 잘 알지 않겠냐"며 "화이트해커 출신 직원이 내부 전산망의 취약점을 발견하면 관련 부서가 이에 대한 대비책을 마련한다"고 설명했다.
기업은행도 2년 전 과거 해킹 대회에서 입상 전력이 있는 화이트해커 출신 보안 전문가를 영입했다. 이 은행 관계자는 "은행에 보안 시스템을 들여올 때 미리 테스트를 하거나 이미 완비된 시스템도 가상으로 해킹을 시도해 안정성을 확인하고 있다"고 말했다. 화이트해커를 활용하면 내부의 약점을 찾는 것은 물론 해커의 공격 방식도 파악할 수 있어 효과적인 방어가 가능하다고 이 관계자는 전했다.
다만 은행들이 화이트해커를 채용할 때 적지 않은 고민도 안고 있다. 보안 강화를 위해 전문가를 영입하는 것이지만 자칫 이들이 '딴마음'을 먹기라도 하면 대형 보안 사고로 이어질 수 있다는 점이다. 시중은행의 한 최고정보책임자(CIO)는 "외부에서 영입하는 보안 전문가들은 채용 전 다양한 적성 검사 등 철저한 면접을 거치게 된다"면서도 "'고양이에게 생선을 맡기는 꼴'이 되지 않을까 우려하는 측면도 없지 않다"고 언급했다.
이 같은 이유 등으로 최근 한 대형은행은 지난해에 이어 올해도 화이트해커 출신 보안 전문가의 영입을 추진했지만 끝내 포기했다. 이 은행 관계자는 "화이트해커 출신 전문가를 채용하기 위해 면접을 진행했지만 은행 내부적으로 반대의 의견이 많아 채용하지 않았다"며 "자유분방한 그들과 정형화된 은행 내부 분위기가 맞지 않다고 판단했다"고 말했다.
또한 은행들이 최고 수준의 화이트해커를 영입해 놓고도 이 같은 사실이 외부에 알려지는 것을 꺼리는 측면도 있다. 자칫 해커들의 표적이 될 수 있기 때문이다. 한 은행의 CIO는 "화이트해커 영입 사실이 알려질 경우 해커들이 자신의 능력을 과시할 타깃으로 삼고 무차별 공격을 시도해 은행의 네트워크나 최신 프로그램을 망가뜨릴 가능성이 높다"고 우려했다.
이 때문에 몇몇 은행들은 화이트해커를 직접 고용하기보다는 보안업체와 연계해 주기적으로 모의 해킹을 진행하면서 보안을 강화해 나가고 있다. 금융권의 한 관계자는 "해킹 등으로 보안 사고가 발생하면 당장 금융 서비스가 중단되는 것은 물론 회사의 신뢰도가 크게 손상된다"며 "은행 입장에서는 어떤 방식으로든 내부 보안을 강화해 나가고 있다"고 전했다.
고형광 기자 kohk0101@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>