▎허창언 금융보안원장. / 사진:금융보안원 제공

2월 16일 경기도 용인시 죽전동 금융보안원의 금융정보공유 분석센터. 한쪽 벽면을 가득 채운 대형 모니터에 금융전산망에 대한 해킹 시도 감지를 알리는 경고등이 들어왔다. 확인 결과 다수 금융회사의 공인인증서 보안을 책임지는 금융권 1차 협력업체의 코드서명인증서가 도용된 것으로 드러났다. 보고를 받은 허창언(57) 금융보안원장은 즉각 해당업체에 코드서명인증서 폐기를 요구하고 각 금융회사에 긴급 보안조치를 내렸다.

그는 이 사건이 하루에도 수십 번씩 일어나는 일상적인 해킹 시도와는 달리 심상치 않은 범죄라고 판단했다. 코드서명인증서는 공인인증서가 정품인지를 확인해주는 ‘온라인 인감’이라 할 수 있다. 인터넷뱅킹 이용자가 도용된 코드서명인증서를 다운로드하면 해커에게 공인인증서 정보를 빼앗길 수 있다. 이런 일이 현실화될 경우 무단 계좌이체를 통한 현금 갈취 피해가 동시 다발적으로 발생하는 것은 물론 인터넷뱅킹이 마비될 수도 있다. 허 원장은 “금융권 1차 협력업체의 코드서명을 도용했다는 건 범인이 금융권의 보안체계를 꿰뚫고 있을 정도의 전문성을 갖췄다는 것”이라며 “단순히 개인 해커가 할 수 있는 일이 아니라 집단에 의한 조직적인 해킹이라고 추정했다”고 말했다. 금융보안원은 이런 판단을 근거로 국가정보원에 코드서명 탈취 사실을 알리고 검찰에 수사를 요청했다. 결국 3주 뒤인 3월 8일 국정원은 긴급 국가사이버안전대책회의에서 “코드 서명 탈취는 북한 해킹조직에 의한 금융 사이버테러 시도”라고 발표했다. 북한은 1차 협력업체가 사용하는 2차 협력업체의 보안 프로그램을 뚫어 코드서명을 빼내는 수법을 썼다. 보안이 취약한 2차 협력업체를 통한 우회 해킹이었다[중앙일보 3월 11일자 A10면].

이는 금융보안원의 중요성을 여실히 보여준 사례다. 국내 유일의 금융 전문 보안기관인 금융보안원이 출범 1주년(지난해 4월 10일 설립)을 맞았다. 2014년 신용카드사 개인정보 유출 사고 이후 정부가 재발 방지 차원에서 비영리사단법인 형태로 설립한 금융권 보안 컨트롤타워다. 이전까지 은행·증권 등 업권별로 따로 운영하던 금융보안 기능을 금융보안원 한 곳으로 모았다. 구체적으론 금융결제원·코스콤의 금융정보공유분석센터와 금융보안연구원을 통합했다. 2월 15일엔 용인 통합 신사옥으로 이전해 그간 서울 여의도 사옥과 경기도 성남시 분당 사옥에 나눠져 있던 기능을 하나로 합쳤다. 허 원장으로부터 출범 1년을 맞은 소회와 향후 계획을 들었다. 그는 “금융정보 침해위협 방지부터 핀테크 인증까지 영역을 확장하고 있다”며 “국민이 안심하고 금융서비스를 이용할 수 있도록 돕는 금융권의 보안관 역할에 최선을 다할 것”이라고 말했다. 금융감독원 부원장보 출신의 허 원장은 지난해 12월 김영린 초대 금융보안원장의 뒤를 이어 2대 원장으로 취임했다.

설립 과정이 궁금하다.

“2014년 1월 카드 정보 유출 사고가 난 뒤 정부가 같은 해 3월 재발방지 종합대책을 마련했다. 그때 정보 유출의 원인을 찾아 보니 허술한 정보 보안 체계와 개인신용정보 관리 부실이라는 문제가 있었다. 해결책으로 강력한 전산시스템 보안체계를 구축하기 위해 금융권 보안 컨트롤타워인 금융보안원을 설립하기로 했다. 해킹과 같은 외부 침입행위에 맞서는 안전한 보안체계를 만들자는 취지였다. 또 여러 곳에 흩어져 있는 개인신용정보를 한 곳에 모아 통합 관리해 유출 위험을 막자는 차원에서 한국신용정보원(올해 1월 5일 설립)을 만들기로 했다.”

금융보안원 출범 이후 보안이 많이 강화됐나.

“그렇다. 모든 금융회사에 대한 보안관제를 금융보안원으로 통합하면서 좀 더 효율적인 감시를 할 수 있게 됐다. 예전에는 업권별로 각각 보안관제를 하다 보니 정보 교류가 바로 안 될 때가 있었다. 한 PC에서 다른 PC로 옮겨다니며 좀비 PC를 양산하는 악성코드는 은행과 증권사를 가리지 않고 침투한다. 이제는 금융보안원의 통합 금융정보공유분석센터에서 해킹 움직임을 바로 탐지해서 대응책을 마련할 수 있다.”

해킹을 감지하는 방법은.

“금융정보공유분석센터의 대형 모니터를 보면 어느 금융회사 시스템에 침투 시도가 있는지 다 보인다. 모든 금융회사의 금융전산망을 지도처럼 펼쳐놓은 형태다. 예를 들어 갑자기 A은행과 B증권사의 접속량이 크게 증가하면 두 곳에 긴급 예방조치를 내린다. 각 금융회사가 가정집이라면 금융보안원은 도둑이 들지 않도록 골목을 순찰하면서 문단속이 잘 됐는지 확인하는 임무를 수행하고 있다. 물론 해킹 위험이 있을 때만 조치를 내리는 건 아니다. 평상시에도 금융회사가 요청하면 보안시스템을 세부적으로 뜯어본 뒤 취약점을 찾아 보완할 수 있도록 돕는다.”

이번 북한의 공격 말고도 사이버테러 시도가 있었나.

▎경기도 용인시 죽전동 금융보안원의 금융정보공유분석센터. 정면의 대형 모니터를 통해 금융전산망을 한 눈에 들여다보며 공격 움직임을 감지하고 차단한다. / 사진:금융보안원 제공

“지난해 6~7월 은행·증권사를 대상으로 한 대규모 디도스(DDoS, 분산서비스 거부) 공격이 있었다. 일반인의 PC에 악성코드를 심은 다음 특정 금융회사 사이트에 자기도 모르게 동시 다발적으로 접속하게 만들어 시스템을 붕괴시키는 수법이다. 당시 공격은 디도스 공격 중단 댓가로 금전을 요구하는 해킹그룹 ‘DD4BC’의 소행이었다. 이들은 몇몇 금융회사 트래픽(접속량)을 크게 늘린 뒤 금융회사에 ‘24시간 이내 비트코인(Bitcoin)을 지급하지 않으면 접속량을 수십 배로 늘리겠다’고 협박하는 내용의 e메일을 보냈다. 금융회사 스스로 방어하기엔 공격 규모가 컸기 때문에 금융보안원이 일괄적으로 대응해 막아냈다.”

어떻게 막았나.

“금융정보공유체계를 통해 전 금융권에 디도스 공격 경보를 내리면서 해킹그룹의 요구에 대응하지 말 것을 주문했다. 그런 다음 금융보안원 내 디도스공격비상대응센터를 통해 공격을 무력화했다. 이곳은 개별 금융회사가 대응하기 어려운 대규모 디도스 공격을 차단하고, 정상 트래픽만 골라 금융회사로 전송해주는 디도스 공격 전문 대응센터다.”

핀테크(금융정보기술) 인증을 금융보안원이 맡은 이유는.

“핀테크가 활성화하려면 철통 같은 보안이 유지돼야 하기 때문이다. 그중에서도 핵심은 최근 금융권의 화두인 ‘비대면 실명 확인제도’다. 이는 은행에 가지 않고도 집이나 직장에서 계좌를 트는 제도로, 앞으로 탄생할 인터넷전문은행에서 이 제도로 계좌 개설과 거래를 하게 된다. 시중은행은 지난해 12월부터 비대면 실명확인 방식을 확대 적용하고 있다. 금융회사의 비대면 인증 기술이 문제 없는지 금융보안원이 서비스를 시작하기 전 미리 검사한다.”

어떤 방식으로 실명확인을 하나.

“총 7가지 방식이 있는데 ▶신분증 사본 제시 ▶영상통화 ▶현금카드 우편 전달 ▶타 금융회사 계좌 확인 ▶공인인증서·휴대전화번호 확인 ▶고객 제공 개인정보 검증 ▶생체정보 인증이다. 이 중 두 가지 방식으로 본인임을 인증하면 된다. 특히 생체정보 인증은 개인마다 다르게 생긴 지문·홍채·정맥 등을 통해 확인하는 것이기 때문에 신뢰도가 높다.”

- 이태경 기자 unipen@joongang.co.kr

허창언 - 금융보안원장은 1959년 제주 출생. 제주 제일고와 서울대 법학과를 졸업했다. 87년 한국은행에 입행해 금융감독원 감독4국 팀장, 공보실 국장, 뉴욕사무소장, 보험감독국장, 보험담당 부원장보를 지냈다.