출연 : 금융보안원 허창언 원장

진행 : 경제산업부장 신두식

[인터뷰 내용]

신두식(이하 신): 오늘은 금융보안원 허창언 원장님 모셨습니다. 원장님, 안녕하십니까!

허창언(이하 허): 네, 안녕하세요.

신: 네, 금융보안원, 좀 생소한 조직이기도 한데요. 금융보안원이 언제 생겼고 어떤 일을 하는지 기관 소개를 좀 부탁드립니다.

허: 네, 우리 국민들이 아직까지 우리 금융보안원에 대해서 생소하게 생각하시리라고 충분히 이해합니다. 왜냐하면 제가 작년 12월에 금융보안원장으로 취임할 때 우리집 아이가 듣보잡이다.

신: 하하.

허: 듣지도 보지도 못한 그런 직장이다 할 정도로 우리 국민들에게는 생소하다고 저도 생각을 하고 있습니다. 그런데 우리 금융보안원이 어느 날 갑자기 생긴 게 아니고요. 과거에 그 금융결제원, 코스콤. 코스콤 그 전에 증권전산이라고 불리웠습니다. 거기에 금융정보공유분석센터가 있었는데 그것하고 금융보안연구원이 통합되어서 우리나라에 금융보안을 전담하는 기관으로 작년 2015년 4월 10일에 출범하게 되었습니다. 금융보안원이 하는 일은 그 은행, 증권사, 카드사, 보험회사 또 저축은행 뭐 신용협동조합은 물론이고 아, 금융공공기관, 금융원협회, 전자금융업자 등 전 금융권을 대상으로 해서 사이버 위협에 대한 정보를 공유하고 분석하고 사이버 침해에 대해서 원인을 조사하고 대응을 하고 금융회사 현장에 나가서 그 취약점을 분석하고 평가하고 또 요즘 우리가 핀테크, 핀테크 대세지 않습니까! 그 핀테크 기업을 그 지원하는 일도 하고 있고요. 그 다음에 머지않아 이제 금년 6월에 개인정보비식별 조치 가인드라인이 나왔지 않습니까? 이것을 기화로 해서 앞으로 빅테이터 활용이 본격적으로 활성화 될 것이다. 이렇게 예상을 하고 있는데 여기에 대한 그 지원업무도 하게 되고요. 또 금융회사의 정보보호 관리체계가 제대로 되어 있는지 인증을 하는 일, 그리고 금융회사 직원들을 대상으로 한 금융보안 등, 그 금융보안에 대한 종합적인 업무를 수행하고 있습니다.

신: 네, 쭉 들어보니깐 금융사들의 전산 관련, 그 다음에 사이버 상거래 관련해서 이제 보안업무를 담당하고 있는데 그래서 좀 공적인 영역기능을 많이 수행하고 있다. 이런 느낌을 받습니다. 그런데 그 기관의 성격이 공공기관인가요? 어떤가요?

허: 네, 수행하는 일들로 볼 때는 공공기관일 것이다. 아마 이렇게 그 예상하시는 분들도 많으실 것입니다. 그런데 우리나라의 금융보안에 대한 당국의 정책 기조가 과거에 규제에서 자율보안체계로 변화가 됐습니다. 소위 규제패러다임 변화라고 하는데 이에 따라서 정부는 금융기관에 대해서 최소한의 가이드라인만 제공하고 금융기관이 보안에 대해서 전적으로 자율적으로 수행하는 그런 체계가 되었습니다. 이러한 정책기조에 따라서 금융보안원은 그 민법 32조에 근거한 비영리사단법인으로 그렇게 출범하게 되었습니다. 그 이해를 돕기 위해서 유사한 기관으로 전국은행연합회, 금융결제원, 뭐 금융연수원 이런 곳들이 우리 금융보안원과 마찬가지로 비영리사단법인 그런 형태가 되겠습니다.

신: 네, 은행들이나 금융사들의 그런 이제 연합체적인...

허: 그렇습니다.

신: 그런 조직으로 조정이 됐군요.

허: 그에 따라서 금융회사에 회비로 운영되는 기관이다. 국가의 세금으로 운영되는 기관이 아니라 그렇게 보시면 되겠습니다.

신: 그렇군요. 그 보안업체들 컴퓨터 백신을 개발하는 그런 업체들과 비교하면 좀 역사가 짧을 수도 있는데 역사는 짧지만 그래도 금융보안원이 상당히 강한 그런 인력들, 좋은 인력들을 보유하고 있다고 들었습니다. 좀 소개해 주시죠.

허: 금융보안원이 아까 말씀 드린대로 출범은 2015년 4월 10일 출범했기 때문에 1년 남짓밖에 안 되어서 그 뭐 역사가 짧다. 이렇게 생각을 하시는 분들도 계시겠지만 사실상 그 아까 말씀드림대로 코스콤 금융보안연구원이 통합됐다고 했지 않습니까!

신: 네.

허: 금융결제원에 정보공유분석센터는 2002년도에 설립되었고요. 코스콤에 정보공유분석센터는 2003년도에 설립되었습니다. 또 금융보안연구원은 2006년도에 설립되어서 지금 금융보안원에 근무하는 인력들이 다 그 분들이 그 분들로 구성되어 있습니다. 그래서 15년 이상, 15년 가까이 오로지 금융관 외길만을 걸어온 그런 전문인력들로 구성이 되어 있기 때문에 우리 인력들이 그런 젊은 사기업들에 비해서 뒤지지 않다. 자신있게 말씀드릴 수 있고요. 또한 그 전문사기업은 영리기업들이지 않습니까?

신: 보통 그렇죠.

허: 그래서 회사에 그 돈이 되는 이익이 되는 부분에 집중해서 영업을 하게 되는데 우리 금융보안원은 그 금융회사에 회비로 운영되는 소위 공공제 성격을 갖고 있어서 금융보안에 관한 알파부터 오메가까지 토탈서비스를 제공하는 그런 기관입니다. 이것도 하나의 강점으로 볼 수 있고요. 자랑을 해 주십사 했는데 사실 그 보안을 하는 기관은 이 자랑을 하는 게 금기시 되고 있습니다. 왜냐면 너무 과대하게 자랑하다 보면 오히려 그 잠재적인 그 사람들로 하여금 도발로 일으킬 수도 그래 가지고요. 다만 우리 국민들이 안심할 수 있을 수준에 그 정도만 홍보를 해야 된다는 그런 철칙을 가지고 있습니다. 잠시 자랑을 한다면 최근에 금년도에 그 각종 언론 보도에서 나온 그 검찰청, 국정원, 경찰청에서 나온 그 코드사인해킹사건. 코드사인이라고 하면 금융회사인터넷 그 금융거래에 이용되는 인감도장 같은 겁니다.

신: 아, 중요한 거네요.

허: 네, 그게 탈취당한 사건이 있었거든요. 그것을 저희들이 조기에 발견을 해서 그걸 이용해서 그 우리 금융기관이용자의 재산이 침탈당하는 일이 없도록 미리 예방한 일이 있고요.

신: 네, 피해가 발생하기 전에 그걸 막았군요.

허: 사전에 2차 피해가 발생되지 않도록 다 예방을 했습니다. 그 다음에 또 사건이라고 이 둘 다 북한의 소행이라고 발표들이 되었는데 방사업체 해킹 사건에 대한 단서도 우리 금융보안원에서 포착을 해서 수사기관에 제공을 해서 피해를 예방하는 그런 결과를 낳은 실적이 있습니다.

신: 네, 그 북한에서 뭐 해킹을 통해서 우리나라 금융기관을 노리는 그런 것들을 어떻게 좀 그 대처를 하고 계신가요? 그러면?

허: 우리가 뭐 특별히 뭐 북한만을 겨냥해서 그 대비를 하고 있다기 보다는 우리 금융보안원에는 전 세계에 IP주소가 다 등록되어 있습니다.

신: 아, 그래요?

허: 우리가 인터넷을 할 때는 다 IP주소라는 게 있지 않습니까! 아마 부장님도 IP주소가 다 있으실 텐데 그래서 거기에서 우리나라 금융회사에 들고나는 모든 이벤트, 트레픽 들고나는 모든 그 정황들, 상황들이 저희 금융보안원에서 포착이 되게 됩니다. 거기서 이상 징후가 있을 때에는 그 정밀분석으로 들어가는데 그 때에 아까 말씀드린 코드사인 해킹 사건들은 수사기관에서 과거에 그 북한에서 우리나라에 그 침해했던 그런 IP주소와 동일하다거나 거기에 사용되는 용어들이 북한에서 사용되는 뭐 그런 용어들이 사용되었다는 그런 징후들로 인해서 북한의 소행이다. 이렇게 발표한 걸로 이렇게 알고 있습니다.

신: 네, 그 원장님께서 생각하실 때 우리나라 금융보안, 이 분야에서 어떤 것을 개선해 나가야 되는지, 문제점은 있는지, 어떤 것을 개선해 나가야 하는지 한 번 의견을 말씀해 주시죠.

허: 네, 그 아직도 우리 금융권에서는 보안에 들어가는 돈을 투자가 아닌 비용이라고 생각하는 그런 경향이 있습니다. 그래서 오죽하면 우리 금융당국에서 전자금융감독규정에서 5.5.7기준이다. 다시 말해서 금융에다가 전체인력의 5%이상을 IT인력으로 충원을 해라. 또 IT인력의 5%이상을 정보보호인력으로 두어라, 또 IT예산에 7%이상을 정보보호예산으로 써라 하는 그런 규정을 두었겠습니까! 아, 그런데 우리 금융회사에서는 전자금융감독규정이 정하는 이 5.5.7규정, 이것을 준수하는 수준에서만 인력과 예산을 운영하고 있고 제가 볼 때는 그 이상의 예산과 인력이 필요한 것 같은데 그렇게 소극적으로 운영을 하고 있다. 이것이 가장 큰 문제다. 그렇게 생각을 하고 있습니다.

신: 네, 그 요즘 금융기술이 발달하면서 뭐 홍채인식이다. 뭐 이래 가지고 눈동자만 가지고도 보인인증을 할 수 있는 그런 시대가 됐습니다. 하지만 그 생체정보가 유출되진 않을까 이런 염려들도 있는 것으로 알고 있는데요. 생체정보보안 유출 염려는 없는 건지 궁금합니다.

허: 뭐, 100%유출되지 않는다고 장담할 수는 없겠습니다. 뭐 모든 완벽한 완전 무기라는 건 없으니깐요. 다만 이 생체정보가 기존에 뭐 아이디, 패스워드나 공인인증 등 다른 인증 수단에 비해서는 아주 우월한 안전성을 담보하고 있다고는 말씀드릴 수가 있겠습니다. 반면에 생체정보는 패스워드처럼 패스워드 같은 경우는 탈취 도용당했을 때는 즉시 전화만 해서도 변경할 수 있지 않습니까! 근데 생체정보 같은 경우는 그 변경하는 데 시간이 걸리기 때문에 철저한 보안 관리가 중요하다. 네, 이런 생각을 가지고 있습니다. 그래서 금융보안원은 올해 2월 달에 금융회사에 대해서 금융서비스 바이오정보 인증관리 가이드라인을 만들어서 배포를 해서 생체정보에 대한 보안관리의 중요성을 강조해 오고 있습니다.

신: 잠시 프로그램 소개 듣고 계속 가겠습니다.

(프로그램 소개 후)

신: 네, 중간에 들으시는 분들은 궁금하실 텐데요. 오늘은 금융보안원 허창언 원장님과 함께 하고 있습니다. 원장님, 개인적인 질문 좀 드릴게요.

허: 네.

신: 서울대학교에서 법학을 전공하신 다음에 한국은행, 그리고 금융감독원에서 주로 이제 생활을 하셨는데 금융 분야에 주로 종사하신 셈이잖아요. 법대를 나오신 원장님 그 금융 분야에서 계속 쭉 종사하시게 된 어떤 계기가 있었을까요?

허: 어, 법학과 금융은 어떻게 보면 경제학의 일부분 아니겠습니까! 법학과 경제학은 그 따지고 보면 서로 논리를 중시하는 그런 학문의 공통점도 있습니다. 그래서 과거에 그 사법시험을 볼 때 경제학 원론이 그 필수과목으로 그렇게 들어가야 있었고요. 실제로 또 우리 경제관료 중에서 그 이헌재 전 부총리님이나 윤중현 전 기획부장관님 다 법학을 전공하신 분들입니다. 그래서 법학과 금융경제학은 뭐 다른 것 같지만 사실상 논리를 중시하는 비슷한 학문이라는 그 공통점도 있고요. 또 한 가지는 제가 법대를 들어가게 될 때는 어떤 의미에서 공직생활을 하고 싶다. 뭐 그런 취지 아니겠습니까! 그래서 사법시험을 안 하고 취직을 하게 될 때에 그래도 한국은행 또는 금융감독원 이런 데가 그래도 공직자로 분리되지 않습니까!

신: 네, 그렇죠.

허: 국가와 우리 국민을 위해서 일을 할 수 있는 곳. 이런 데를 찾다 보니깐 한국은행에 그 들어가게 되었습니다.

신: 네, 그러셨군요. 원장님 그 건강을 위해서 주로 여가시간에는 어떻게 보내세요?

허: 네, 등산을 많이 다니고 있습니다.

신: 아, 주로 어디를 다니십니까?

허: 과거에는 뭐 그 전국에 산을 거의 다 이제 다녀 봤다고 말씀드릴 수 있고요. 최근에는 이제 결국 건강 관리를 위해서 그 먼 산은 다 다녀온 그것도 있고 또 갔다 왔다 오는데 시간이 많이 소유되기 때문에 서울 근교의 산을 많이 다니고 있습니다. 예를 들면 북한산, 도봉산, 뭐 관악산, 뭐 청계산 뭐 이런 곳들을 그 들 수가 있겠습니다.

신: 원장님, 뭐 불교와 인연이 있으신지 궁금합니다.

허: 그 불교를 떠올리면 그 제가 어렸을 적에 제가 우리집 7남매 막내인데요. 우리 형님들이 군대 가셨을 때에 우리 집안은 그 때 불교를 믿고 있었습니다. 믿는다고 표현하죠. 우리나라에서는... 그래서 예전에 군대 갈 때는 이제 월남전도 있었고 그래서 상당히 군대 가는 자체를 상당히 위험한 그걸로 생각을 할 때였습니다. 그래서 초등학교 때 모여서 군대 가시는 우리 형님들이나 동네 어른들 다 모여서 심지어 만세삼창하고 태극기를 이제 이마에 두르기도 하고 그럴 정도로 상당히 군대 가는 게 하나의 큰 행사였고 그 남아 계신 부모님들은 자식들의 안위를 많이 걱정들 하셨거든요. 그 때에 제가 우리 어머니께서 틈틈이 독불공, 지금 불교방송 독불공이라는 게 같은 용어로 불리고 있는지 모르겠습니다만 독불공을 아주 자주 하신 그걸로 지금 기억하고 있습니다. 그래서 한밤중에 밤새도록 하시더라고요. 한밤중에 어머님 손을 잡고 그 전기도 없는 시골길을 어머님 손을 잡고 그 불교에 가서 법당에 가서 같이 절도 하고 뭐 그런 기억을 아주 아슬하게 간직하고 있습니다.

신: 네, 그러시군요. 현안으로 돌아와서요. 그 금융사들이 공인인증서를 주로 사용하고 있는데 공인인증서의 대안을 찾아야 한다는 논의도 계속 되어 왔거든요. 지금 이 부분에 대해선 어떤 의견이십니까?

허: 네, 공인인증서 사용로가 폐지되었는데 왜 아직도 뭐 공인인증서를 사용하고 있느냐 뭐 그런 얘기들이 더러 들리기는 합니다. 근데 지금은 과도기로 보시면 될 것 같습니다.

신: 아, 그래요.

허: 네, 금융회사들이 공인인증서 사용의무 폐지라는 금융당국의 국제완화로 인해서 뭐 스마트OTP, 바이오 인증, 생체인증 이런 공인인증서 대체수단을 도입하기 위해서 지금 계속 노력을 하고 있고요. 일부 금융회사에서는 뭐 소액위주로 실제로 뭐 공인인증서를 대체하는 생체인증을 사용하는 금융회사들도 있습니다. 또 어떤 금융회사는 뭐 금액의 제한 없이 하는 회사도 나타나고 있고요. 그래서 앞으로 이런 노력을 계속 하고 있기 때문에 공인인증서를 대체하는 그 생체인증 등, 대체 수단에 대한 안전성이 확실하다고 인정 될 때까지 시간이 조금 걸리고 있을 뿐, 금융회사들은 공인인증서 보다 더 우월한 그 본인 인증수단을 그 개발하기 위해서 노력하고 있다. 이런 말씀을 드릴 수가 있겠습니다.

신: 네, 그 재작년인가요? 그 카드사들의 개인정보 유출사태로 뭐 사회적으로 좀 문제가 됐었는데 이런 문제가 다시 발생하지 않으려면 금융사들이 어떤 노력을 기울여야 할까요?

허: 네, 2014년 1월은 뭐 저도 금감원에 재직할 당시인데 그 카드 3사에 1억 여건에 달하는 대규모 개인정보유출을 가지고 주말 휴일 뭐 상관없이 계속 근무를 하면서 재발방지를 위해서 같이 머리를 맞대서 일을 했던 기억이 납니다. 근데 그 사건은 한 마디로 어떤 기술적 문제가 아니라 관리적 문제다. 보안은 물리적, 기술적, 관리적 요소가 다 그 충족되어야 하는 3가지 요소가 있거든요. 그러니깐 금융회사에 내부 통제가 제대로 작동되지 않았다. 뭐 이렇게 말씀드릴 수가 있겠습니다. 그래서 앞으로는 금융회사에서 내부 통제 기준을 조금 더 세밀히 가지고 가고 준수를 위해서 최선을 다해야 된다. 그런 생각을 가지고 있습니다.

신: 네, 그 해킹 피해를 막기 위해서는 이제 개인적인 노력도 필요하잖아요. 금융소비자들이 이것만은 지켜야 한다. 이렇게 조언해 주실 게 있으면 좀 해 주시죠.

허: 네, 보안은 금융당국이나 뭐 금융회사나 또 우리 금융보안원 같은 기관의 노력만으로 되는 게 아닙니다. 실제로 그 전자금융사고는 개인이 사용하는 PC에서 발생하는 경우도 많거든요. 보이싱피싱이나 해킹 사건들이... 그래서 금융보안을 위해서 금융당국, 금융회사, 저희와 같은 금융보안 전담기구 그리고 금융거래를 실제로 그 전자금융상거래를 전자금융거래를 이용하는 소비자가 다 혼연일체가 되어서 피해 방지 노력을 해야 된다 생각을 합니다. 그래서 우리 금융보안원에서는 금년도에 전자금융피해예방10대 수칙을 내 놓은 적이 있습니다. 거기에 따르면 첫 번째는 뭐 신뢰할 수 없는 웹사이트는 방문 하지 마십시오. 또 출처가 불분명한 이메일이나 게시판 글은 열람하지 마십시오. 또는 뭐 공인인증서 등은 PC에 저장하시면 안 됩니다. 해 가지고 한 10가지를 우리가 그 열거를 해 놨는데 이런 보안 수칙 등을 그 준수하셔서 그 언제 발생할지도 모르는 그 전자금융 사고에 대비하셨으면 좋겠다. 이런 말씀을 드리고 싶습니다.

신: 네, 아쉽지만 얘기 나누다 보니깐 시간이 다 됐는데요. 앞으로도 그 안전한 금융서비스를 위해서 또 금융사업의 발전을 위해서 더욱 힘써 주시길 바랍니다.

허: 네, 감사합니다.

신: 오늘 나와 주셔서 감사합니다.

허: 네, 감사합니다.

신: 네, BBS경제토크 오늘은 금융보안원 허창언 원장님과 함께 했습니다.