“금융감독원에 해커가 있다고?”
과거 정보기술(IT) 관련 기업들이 전문 해커를 ‘모시기’ 위해 치열한 경쟁을 벌이던 때가 있었다. 컴퓨터 보안을 뚫을 정도면 철옹성 같은 보안 프로그램도 만들 수 있는 ‘능력자’였기 때문에 해킹 전과 기록이 훈장처럼 여겨질 정도였다.
지난 2002년 국내 금융기관 검사 및 감독 업무를 총괄하는 금융감독원도 해커를 영입했다. 1990년대 후반까지 IT업계에서 ‘화이트 해커(연구를 목적으로 해킹하는 사람)’로 이름을 날렸던 최철훈 IT감독국 IT총괄팀 선임조사역. 물론 경력 공개채용 절차를 거쳐 자발적으로 금감원에 입사했다.
최 선임조사역은 “ ‘해킹기술을 좀 더 이로운 곳에 써야겠다’는 생각에 지원하게 됐다”면서 “본격적으로 금융 IT 보안 업무를 하면서 ‘내가 만든 보안 프로그램이 국내 표준이 될 수 있다’는 자부심과 책임감이 생겼다”고 말했다.
실제로 국내 금융권에서 매뉴얼이 된 ‘스마트폰 금융거래 10계명’ ‘스마트폰 전자금융 안전 대책’ ‘금융권 스마트워크 정보보호 가이드라인’ 등은 그가 주도해 만들었다. 최근에는 MS카드(뒷면에 검은색 자기띠가 있는 카드) 복제로 인한 자동화기기(ATM) 불법 인출 사고를 막기 위해 IC카드(앞면에 금속칩이 있는 카드)로만 현금 인출을 할 수 있도록 하는 사업을 진행 중이다.
최 선임조사역은 “MS카드는 복제가 너무 쉬워 보안에 취약하다”면서 “유럽과 일본 등 선진국에는 이미 IC카드가 보편화돼 있고, 우리나라는 내년 9월부터 ATM에서 IC카드만 인식할 수 있도록 할 예정”이라고 말했다.
금융 IT 보안 부문에서 국내 최고 수준을 자랑하는 그가 컴퓨터를 만진 건 대학교 때다. 고등학교까지는 컴퓨터보다 유도에 더 관심이 많아 공인 3단 단증까지 따놨다.
최 선임조사역은 “공과대 중에서 취업이 가장 잘되는 학과가 어딘지 보고 전자계산학과에 입학했다”면서 “막노동을 하면서 모은 돈으로 컴퓨터로 샀고 프로그램을 하나 둘 만들기 시작하면서 자연스럽게 해킹기술을 익히게 됐다”고 말했다.
수많은 시행착오를 겪으면서 독학한 컴퓨터 관련기술은 당시 학원조차 없어 배울 수 없었던 국제 공인 정보시스템감사사(CISA), 국제 공인 정보시스템보안전문가(CISSP), 마이크로소프트 공인시스템엔지니어(MCSE), 오라클공인전문가(OCP) 등의 자격증을 따는 데에 큰 도움이 됐다. 그가 ‘금감원의 안철수’로 통하는 이유도 여기에 있다.
실제로 금융 IT 보안 능력을 인정받아 지난 2003년에는 안철수연구소 명예연구원으로 위촉돼 활동하기도 했다. 그는 수년째 IT 보안 동호회를 운영하면서 민간 전문가들과 정보 공유 및 보안 프로그램 연구ㆍ개발에 매진하고 있다.
최 선임조사역은 “금융 IT 보안은 보안제품이나 기술로만 되는 게 아니라 금융 프로세스를 잘 이해하고 접근해야 한다”면서 “최근 금융회사의 IT 보안 부문이 대폭 강화되면서 고객정보 유출 사고를 방지하기 위한 최소한의 여건을 마련했다는 데 보람을 느낀다”고 밝혔다.
최진성 기자/ipen@