[기자수첩] 금융해킹, 과징금이 능사일까

제2 금융을 중심으로 해킹 피해가 반복되면서, 금융권을 중심으로 한 시스템 부실 논란이 일고 있다. 문제는 짧은 기간 동안, 다수의 기업에서 사고가 이어지고 있다는 점이다. 지난 7월부터 8월 말까지 고작 두 달 남짓한 기간 동안, SGI서울보증에 이어 웰컴금융그룹 계열사 웰릭스에프앤아이대부, 롯데카드까지 제2 금융권에서만 3건의 해킹 피해가 잇따랐다.

금융당국은 칼을 빼 들었다. 금융위원회는 금융보안사고를 낸 은행권에 최대 200억원의 징벌적 과징금을 부과하는 '디지털 금융보안법'의 초안을 마련, 법제화를 추진 중이다. 은행권에 자율적으로 보안체계를 구축할 수 있도록 재량권을 부여하는 동시에 사후 결과에 대한 책임을 강화하는 것이 주요 골자다.

금융사고가 제2 금융을 중심으로 발생하고 있는 상황을 미뤄보면, 현실적으로 과징금 부과가 능사는 아니다. 특히, 제2 금융권 중 중소형 기업은 보안체계를 자율적으로 구축해 금융 사고에 대비할 수 있는 여력이 없다. 금융 보안 체계를 자체적으로 구축하기 어려운 곳에 사후적 과징금을 부과하는 것은 소 잃고 외양간 고치는 격에 불과하다.

업계 관계자는 "제2 금융 중에서도 작은 기업의 경우 재무를 관리하는 인력조차 부족한 곳이 있다"며 "이들이 금융 보안 사고에 가장 취약할 텐데, 여기에 보안 체계를 스스로 구축하도록 하는 것은 현실적으로 무리가 있을 것"이라고 전했다.

현재 주요 대형 금융권 사이에서는 사이버 해킹 위협에 대응하기 위한 방안으로 '제로트러스트' 보안 모델이 부상하고 있다. 제로트러스트는 '아무도 신뢰하지 않는다'라는 기조 아래 모든 접근 요청에 대해 확인 및 인증 절차를 거쳐 최소한의 접근만 허용하는 보안 모델이다.

문제는 초기 구축 비용이 많이 든다는 것이다. IT업계에 있는 한 관계자는 "제로트러스트의 경우 이를 구축하는 과정에서 초기 비용이 꽤 많이 들어간다"며 "또, 도입했다고 끝이 아니라 지속적인 관리와 이를 수행할 수 있는 전문 인력이 있어야 하기 때문에 중소기업의 경우 부담이 있을 수밖에 없다"고 전했다.

현실에 맞는 적절한 처방이 필요하다. 사후 규제를 가하기 전에 중소형 은행을 대상으로 보안 시스템에 대한 교육 및 지원이 선행돼야 한다. 외양간을 고치는 것보다 소를 잃지 않는 것이 먼저기 때문이다.