한경 로앤비즈의 'Law Street' 칼럼은 기업과 개인에게 실용적인 법률 지식을 제공합니다. 전문 변호사들이 조세, 상속, 노동, 공정거래, M&A, 금융 등 다양한 분야의 법률 이슈를 다루며, 주요 판결 분석도 제공합니다
지난 6.4. 기고["해킹 막아라"…커지는 금융권 IT보안 수요, 대응 전략은?]에서 금융기관의 보안 리스크가 증가에 따른 보안 사고 대비를 강조했다. 부연하면, 감독당국은 기존 규제체계로는 증가된 금융기관의 보안 리스크를 적절히 규제할 수 없다고 판단했고, 2022. 금융보안규제 선진화 방안을 마련했다. 올해 초에는 전자금융감독규정을 개정, 시행하였으며, IT 감사 가이드라인도 시행하였다.
그럼에도 불구하고, 올해 7월 모 금융회사는 해킹 침해사고를 당하여 약 3일간 서비스가 마비됐다. 언론 보도에 따르면 해커들이 비밀번호를 계속 바꿔 넣는 단순한 방식으로 공격했는데, 해당 금융기관은 이런 기본적인 공격을 막는 장치도 안 했던 걸로 드러났다. 감독당국은 이에 대한대책 중 하나로 보안사고 발생시 징벌적 과징금을 부과할 수 있도록 제도개선 방안을 마련하겠다고 밝히기도 했다.
반복되는 금융권 보안사고 이유는?
그러나, 불과 한달 후인 8월 다른 금융회사에서 악성 프로그램 설치로 인해 약 13일간 200GB의 정보가 유출되는 사고가 발생하였고, 유출된 정보 가운데는 고객 296.9만명의 개인신용정보도 포함된 것으로 파악되었다. 금감원 조사에 따르면, 이번 해킹공격은 2017년 이미 취약점 보완을 위한 패치가 제공되었음에도 불구하고 업데이트를 하지 않은 탓에 당한 것으로 밝혀졌다.구형 취약점 관리 부실이 주된 원인일 수 있다는 것이다. 또, 동 회사가 IT자체 감사를 실시하긴 하였으나, 자체감사에서 보안패치의 최신화가 되지 않을 것을 확인하지 못했다고 한다. 이에 감독당국은 “개인 신용정보 관리·정보보안 등 관련 위규사항에 대해서는 금감원 검사를 통해 위규사항을 낱낱이 파악하여 엄정한 조치를 취할 예정이며, 허술한 개인정보·정보보안 관리 사항에 대해서는 최대 수준의 엄정한 제재가 이뤄지도록 할 방침”이라고 밝혔다.
이처럼 규제 강화와 감독 강조가 이어지는 상황에서도 금융권 보안사고는 반복되고 있으며 원인은 의외로 기본 수칙 미이행, 패치 지연, 접근통제 허점 등 사소한 부주의에서 비롯되고 있다. 과징금 등 사후 리스크가 커지는 만큼, 지금은 사고 후 복구가 아니라 사고 전 예방과 통제가 무엇보다 중요하다.
방지 우선책, '기본으로 돌아가라'
무엇을 우선해야 할까. 첫째, IT 감사체계의 신속한 정비다. 앞서 제시된 IT 감사 가이드라인에 부합하는 감사 범위·주기·절차를 확립하고, 운영·개발·보안을 분리해 점검의 독립성과 실효성을 담보해야 한다. 둘째, 기본 통제의 철저한 이행이다. 패치·취약점 관리의 주기화와 책임소재 명확화, 계정·권한 최소화, 다단계 인증과 비밀번호 정책의 표준화, 로그·알람의 중앙화 및 상시 모니터링은 더 이상 선택이 아니다. 셋째, 감사 결과와 보안 지표를 경영 의사결정과 연계해, 미흡 사항에 대한 예산·인력 배분을 신속히 집행해야 한다.특히 최근 금융기관의 AI 도입 확산에 따라 새로운 형태의 위협 면이 빠르게 늘고 있다는 사실도 유의해야 한다. 데이터 포이즈닝, 모델 역이용, 프롬프트 주입 등 AI 특유의 공격 시나리오가 나타나고, 외부 모델·API 활용, 오픈소스 라이브러리 의존 확대, 에이전트의 자동화된 툴 실행 등으로 공급망·운영 리스크가 증폭되고 있다. 따라서 기존의 일반적 보안 통제만으로는 충분하지 않다. AI 개발·학습·배포·운영 전 생애주기를 대상으로 한 전용 점검 항목이 필요하다.
외부 전문가 협업도 적극 고려해야
이와 같은 AI 보안 점검은 항목 수가 방대하고 기술 변화 속도가 빨라, 내부 인력만으로 모든 리스크를 누락 없이 식별·검증하기 어렵다. 앞선 사례에서 보듯 자체 감사가 기본적 패치 미이행조차 놓칠 수 있다는 점을 상기할 필요가 있다. 따라서 외부 전문가의 지원을 적극 고려해야 한다. 외부 전문가는 다수 기관의 사례와 최신 위협 정보를 바탕으로 맹점과 업계 공통 취약 지점을 신속히 짚어낸다. 또한, 규제 요구, 업계 표준, 실무 관행을 반영한 체계화된 체크리스트를 이용하여 누락을 줄이고, 조치 우선순위를 정량화한다. 태평양 미래금융팀은 보안 관련하여 280여 개의 체크리스트를 기반으로 점검 업무를 다수 수행해 왔다. 이를 통해 기관별 환경과 규제 요구에 맞춘 맞춤형 점검을 제공하고, 식별된 취약점에 대해서는 우선순위·개선 로드맵·증빙 체계를 함께 제시한다.
결론적으로, 강화되는 규제 기조와 연이은 사고는 금융기관이 ‘기본으로 돌아가되, AI 시대에 맞게 확장된 보안 체계’를 구축할 것을 요구한다. IT 감사체계의 조속한 정비, 기본 통제의 빈틈없는 이행, AI 특화 보안 점검의 내재화, 그리고 외부 전문가와의 협업을 통한 객관적 검증이 병행될 때, 사고 예방과 제재 리스크 최소화라는 두 목표를 동시에 달성할 수 있다. 지금이 바로 점검과 개선에 착수할 최적의 시점이다.
<hr style="display:block !important; border:1px solid #c3c3c3" />
박영주 법무법인 태평양 변호사 l 고려대학교 법학과를 졸업하고 2012년 사법연수원 41기를 수료했다. 이트레이드증권에서 약 2년간 근무하면서 증권 관련 소송 및 내부통제 업무를 수행했다. 그 후 금융감독원에서 약 8년간 증권회사와 전자금융업자 감독·검사(금융회사 제재조치, 초대형 투자은행 지정 등), 은행법, 전자금융거래법 등에 관한 법률자문 업무를 담당했다. 부동산신탁회사 인가 태스크포스(TF), 전자금융거래법 개정 TF 등에도 참여했다. 현재는 선불업자, PG업자 등록 등 전자금융거래법과 관련한 법률자문을 하고 있다.태평양의 미래금융전략센터(센터장: 한준성 고문)는 2024년 5월 출범하여, 금융권 디지털 혁신 가속화와 금융 기술 발전에 발맞춰 가상자산·전자금융·규제 대응·정보보호 등 금융 및 IT 분야 최정예 전문가들로 진용을 구축하고 있다.
관련뉴스
