“설치형 보안 SW 다 빼!”.. 정부 지시에 여의도 금융권 ‘패닉’

29일 업계에 따르면 정부는 최근 금융권 보안 담당자를 불러 ‘금융권 설치형 보안 소프트웨어 개선 관련 회의’를 진행했다. 이 자리에서는 금융권 설치형 보안 소프트웨어 감축·전환 로드맵에 대한 실행 방안 논의를 비롯해 업권별 의견을 수렴한 것으로 알려졌다.

이번 조치는 학계의 잇따른 경고와 정부의 강력한 정책 의지가 맞물린 결과로 풀이된다. 앞서 카이스트 연구진은 웹 브라우저 보안을 우회하는 국내 의무 보안 소프트웨어의 구조적 취약점을 지적하며 근본적인 패러다임 전환을 촉구한 바 있다.

여기에 작년 발표된 정부의 ‘범부처 정보보호 종합대책’이 더해지면서, 고질적인 한국형 보안 갈라파고스 환경에서 과감히 탈피하겠다는 정부의 의지가 반영된 셈이다. 범부처 정보보호 종합대책에 따르면, 정부는 소비자가 금융 업무를 볼 때마다 의무적으로 PC에 깔아야 했던 ‘설치형 보안 소프트웨어’(키보드 보안, 방화벽, 백신 등) 레거시 보안 소프트웨어를 올해부터 단계적으로 제한한다.

대신 비밀번호와 일회용 비밀번호(OTP), 생체인식 등을 결합한 다중 인증(MFA)과 AI 기반 이상금융거래탐지시스템(FDS)을 전면 도입해 보안의 책임을 소비자 PC에서 금융사 서버로 완전히 옮기겠다는 방침이다. 일각에서는 이번 강경 드라이브의 이면에 사이버 안보 컨트롤타워인 국가안보실의 강력한 의중이 적용하고 있다는 분석도 나온다.

정부가 말하는 ‘글로벌 스탠더드’는 철저한 서버 중심의 지능형 보안을 의미한다. 미국 JP모건 체이스나 영국 몬조 등 해외 주요 금융사들은 소비자 PC에 별도의 보안 플러그인을 강제로 설치하지 않는다. 대신 접속 기기 정보, 위치, 거래 패턴 등을 서버단에서 실시간으로 분석하는 FDS와 제로트러스트 아키텍처를 통해 안전을 담보하며, 사고 발생 시 금융사가 100% 책임을 지는 구조다.

문제는 부족한 시간과 소통의 부재다. 작년 말 금융감독원이 진행한 사전 조사에서 금융권은 모바일 환경을 기준으로 “대체 가능하다”고 보고했다. 하지만 정부 당국이 4월까지 대체 계획안을 제출하고 연말까지 전면 전환하라는 지침을 통보하자 상황은 180도 달라졌다. 수십 년간 구축해 온 레거시 시스템을 단기간에 갈아엎어야 하는 업계 일각에서는 실무 부처인 금융당국조차 속도 조절이 힘들 만큼 상부의 드라이브가 거세다는 뒷말이 무성하다.

최근 소집된 금융권 보안 담당자 회의에서는 공동인증서를 제외하면 기존 키보드보안이나 PC 방화벽, 백신을 대체할 PC 환경 수단이 없다는 주장이 제기되며 혼란이 일고 있다. 특히, 모바일 중심인 핀테크나 카드사와 달리, PC 거래 비중이 압도적인 은행과 증권사가 직격탄을 맞았다. 수백만 명의 고객이 매일 이용하는 기존 시스템을 단기간에 안전하게 대체할 뾰족한 수가 없기 때문이다.

.. 후략 ..

https://boannews.com/media/view.asp?idx=142897