사이버리스크發 '예견된 사고'···FDS 도입, 법적 강제 없어
"시스템 문제···금융당국·민간영역, 보안 협의체 마련해야"
[서울파이낸스 유은실 기자] "창(사이버 범죄·해킹)은 계속 발전하는데, 방패(보안)가 그 속도를 따라가고 있는지 의문이다." (모바일보안 전문가)
금융권에서 보안 사고가 잇따라 발생하면서 사이버 리스크 대응 체계에 문제가 있다는 목소리가 높아지고 있다. 금융사들이 앞다퉈 디지털 전환을 시도하고 있는 가운데 오픈뱅킹·마이데이터·종합플랫폼 등 새로운 서비스를 출시하면서 소비자 편의성은 개선되고 있는 반면, 새로운 리스크가 발생해 보안은 되려 허술해질 수 있다는 의견이 관측된다.
27일 카드업계에 따르면 최근 신한카드에서 부정결제가 이뤄졌다는 소식이 전해진 지 얼마 지나지 않아 KB국민카드, 삼성금융네트웍스에서도 개인정보 노출 사고가 발생했다. KB국민카드의 경우 한 고객 앱에서 다른 고객의 결제 정보 등이 노출됐고, 삼성카드 주도로 만든 삼성 금융계열사 통합 앱인 '모니모'에서는 삼성증권 고객 344명의 계좌번호, 잔고 등이 유출됐다.
앞서 신한카드에서도 일부 고객들 사이에서 본인도 모르는 사이 신용카드로 수백만원이 결제됐다는 신고가 있었다. 카드업계에서 모바일 채널을 통한 보안 사고가 연달아 발생하자 금융당국도 조사에 나섰다. 금융감독원은 자료를 통해 부정사용 사고의 발생 경위와 문제점, 소비자 피해구제의 적정성 등에 대해 별도의 검사를 실시할 계획을 발표했다.
하지만 이번 사태를 두고 금융권과 보안업계 관계자들은 '예견된 사고'라는 반응이다. 회사마다 이상거래감지시스템(FDS)을 운영하면서 차단 건수 자체는 늘었지만, 금융의 디지털 전환으로 관리해야 할 사이버 리스크의 범위는 확대되고 있다는 평가다. FDS는 평소와 다른 이상 구매 패턴을 사전에 감지, 카드 복제에 따른 부정 거래를 방지하는 시스템을 말한다.
한 보안업계 관계자는 "FDS 도입에 대한 법적인 강제사항이 없는 상태다. 회사마다 FDS를 고도화하고 있다고 하지만 실제로 효용성이 있는지 알기 힘들다"며 "오픈뱅킹, 마이데이터 시행으로 기존에 없던 사이버 범죄가 나타날 가능성은 점점 더 커지고 있어 이와 관련해 안전성을 정비하는 일이 시급한 상황"이라고 분석했다.
금융보안원에서 금융사고나 부정거래 발생시 정보를 공유하는 체계를 운영하고 있지만 참여는 회사 자율에 맡겨져 있다. 사이버위협을 당한 긴급상황에서 공유해야 하는 정보도 공격자 IP, 단말 정보 등으로 어느 정도 정해져 있지만 강제성은 없는 상황이다. 사고 가능성은 커진 반면 규제와 관련된 법적근거는 따로 없다는 것.
카드업계 관계자는 "신한카드에서 원인 규명을 위한 조사를 진행하고 있는 것으로 알고 있는데, FDS에서 걸러내지 못한 외부 공격으로 추측하고 있다"며 "FDS가 고도화되고 있는 것도 맞지만 계열사끼리 앱을 통합하거나 서비스를 공유하는 플레이어들이 많아지면서 업계 전체적으로 보안 측면에서 고민이 깊어지고 있는 것은 사실"이라고 말했다.
전문가들은 정부와 민간 회사가 공조해 사이버 리스크에 대한 대비가 필요하다는 데 입을 모은다.
임종인 고려대 정보보안대학원 교수는 "지난 2014년 신용카드사에서 대규모 정보 유출 사고가 있었고 그 당시엔 직원의 일탈이 원인이었지만 이번엔 기술적인 문제, 보안 전문 인력 부족 등 시스템 문제 성격이 짙다"며 "금융당국과 민간 회사가 협의체를 마련하거나 TF를 꾸리는 등 함께 보안을 정비해야 할 때"라고 제언했다.