18일 KB금융지주경영연구소의 ‘국내ㆍ외 금융권의 정보보안 최근 동향과 전망’ 보고서를 보면 18개 국내 은행의 IT 투자예산 대비 보안예산 비율은 지난해 10∼15%에 머물렀다. 이는2013년 국내 은행들의 보안예산비율(9.27%)보다는 상승했지만, 미국의 은행권(약 40%)이나 영국의 은행권(약 50%)보다 현저히 떨어지는 수치다.
작년 초 카드 3사의 대규모 고객정보 유출 사태 이후 국내 금융사들이 정보보안 강화에 역점을 뒀던 사실에 비하면 낮은 수준이이다.
이기송 연구소 선임연구위원은 “국내 금융사는 보안예산을 편성해 그 범위에서 운용하지만, 미국이나 영국에서는 보안예산을 IT투자예산에서 가변적으로 상황에 맞게 끌어쓸 수 있다”고 설명했다.
국내의 경우 회사 내·외부 직원의 고객정보 무단 복제에 의한 정보 유출 사고가 전체 8건 가운데 6건을 차지했다. 보안 규정만 지켰다면 피할 수 있었던 피해였던 셈이다. 반면, 해외에서는 시스템 밖에서 은행 자체를 해킹한 현금 인출 사고가 잦았다. 해커들은 2013∼2014년 러시아와 미국 등 30개국 100개 이상의 은행을 공격해 현금인출 피해액이 10억 달러(약1조1200억원)에 이르기도 했다.
국내ㆍ외 금융사들은 정상적인 경로를 벗어난 이용자의 이상금융거래를 탐지해 차단하는 FDS(Fraud Detection System)를 개발해 운영하고 있다. 국내에서는 카드사 8곳 전체, 은행 10곳, 증권사 4곳이 FDS 구축을 완료한 상태다.
모든 카드사가 구축을 마쳤고 은행 중에서는 KB국민ㆍ신한ㆍ하나ㆍ우리ㆍ농협ㆍ외환ㆍ씨티ㆍ경남ㆍ부산ㆍ전북은행이 구축을 마쳤고, 산업ㆍ기업ㆍ수협ㆍSCㆍ광주ㆍ제주ㆍ대구은행이 시스템을 구축하고 있거나 연내 구축할 예정이다.
이 연구위원은 “은행과 증권사는 부정사용에 대한 데이터베이스(DB) 축적 미비와 운용기법상 미숙으로 안정화 단계에 접어들기까지 다소 시일이 걸릴 것으로 예상한다”고 말했다.
한편, 외부 악성 코드에 의한 공격의 경우 초기에 무작위적 피싱 형태에서 맞춤형으로 개인 정보를 수집, 정교화 되고 각종 기술을 융합한 결합형으로 진화하고 있어 주의가 필요한 것으로 나타났다. KISA는 지난해 9월부터 7개월간 탐지된 악성코드를 분석한 결과 PC에 악성코드를 설치, 사기 사이트로 접속하는 기존의 ‘파밍’에 QR코드를 결합한 ‘큐싱’ 기법을 이용한 악성코드를 발현했다. 이밖에 PC에 악성 프로그램을 이식해 내부 문서나 데이터를 암호화해 사용 불능 상태에 빠뜨린 후 금전을 요구하는 ‘랜섬 웨어’나 최근 금융감독원 직원 사칭과 유사하게 공신력있는 기관이나 지인을 사칭하는 이메일을 보내 PC에 악성코드를 심는 ‘스피어 피싱’도 발견됐다.
why37@heraldcorp.com
