​[2020 아태금융포럼] 김승주 "보안 집단지성 활용해야 '제2의 카뱅' 나와"

김승주 고려대 정보보호대학원 교수

"제2의 카카오뱅크가 나오려면 소규모 폐쇄형 보안 인력을 대규모 개방형으로 전환해야 한다."

김승주 고려대 정보보호대학원 교수는 18일 서울 중구 플라자호텔에서 열린 '2020 아시아·태평양 금융포럼(APFF 2020)'에서 이같이 말하고 "초연결 시대에서 소수의 보안 전문 인력이 제품 및 시스템에 대한 모든 취약점을 찾아내는 것은 불가능에 가까워 집단지성을 활용할 필요가 있다"고 강조했다.

국내 금융권은 모바일뱅킹 애플리케이션(앱)이나 비대면 서비스를 출시하기 전 소수의 보안 업체에 '모의해킹'을 의뢰한다. 출시 전 보안 진단을 받기 위해서다. 하지만 김 교수는 "의뢰 업체들이 취약점을 못 찾았다고 해서 해당 앱이나 서비스가 안전하다고 볼 수는 없다"며 "모의해킹 기간을 더 주거나, 기술이 더 뛰어난 업체에 의뢰하면 충분히 해킹당할 수 있다"고 설명했다.

이 때문에 대부분의 금융 앱이 무겁다고 김 교수는 진단했다. 시장 선점을 위해 출시를 서두르게 되고, 출시 후 취약점을 발견할 때마다 업데이트를 시킬 수밖에 없기 때문이다. 김 교수는 "카카오뱅크가 인기를 모을 수 있었던 것은 설계 단계부터 단순하면서 안전한 앱을 고민했기 때문"이라며 "그러다보니 앱이 가볍고 빠르다"고 말했다.

해킹 피해 최소화를 위한 집단지성 활용도 강조했다. 그는 "펜타곤(미국 국방부)의 경우 자체적으로 찾지 못한 취약점을 발견하기 위해 해커들을 모집한다"며 "치명적인 약점을 발견하면 100만 달러 상금을 주는데, 1410개 해커 팀이 참여해 1189개 해킹 보고서를 내놨다"고 사례를 소개했다. 그러면서 "국내에도 이 같은 신고포상제가 운영되고 있으나, 금융권에서 도입한 곳은 카카오뱅크 한 곳뿐"이라고 덧붙였다.

도메인 중심의 현 보안체계를 데이터 중심으로 전환해야 한다고 소개했다. 현재 금융회사는 보안을 위해 업무망과 인터넷망을 분리한다. 망 분리는 보안성이 높지만, 사무실 컴퓨터가 아니면 업무를 처리할 수 없는 단점이 있다. 김 교수는 "4차 산업혁명, 초연결 시대에 '스마트 워커'를 하라고 하지만, 지금과 같은 체계에선 불가능한 얘기"라고 지적했다.

이를 극복하는 방법이 망을 분리하되 데이터 중심으로 나누는 것이다. 기밀자료 유통망과 일반 업무자료 유통망(인터넷망)으로 분리하면 사무실이 아니더라도 어디서든 일을 할 수 있다. 그는 "코로나 사태로 재택근무가 권고되고 있지만, 보안이 중요한 금융권은 한계가 있을 수밖에 없다"며 "보안체계에 대한 패러다임을 바꾸면 업무 효율성을 높일 수 있다"고 말했다.

한편 이번 포럼은 코로나19 확산 방지를 위한 사회적 거리두기에 동참, 온라인을 통해 생중계로 진행됐다.
 

김승주 고려대 정보보호대학원 교수가 18일 서울 중구 플라자호텔에서 열린 제13회 아시아태평양 금융포럼(2020 APFF)'에서 'loT산업과 금융 시큐리티 리스크'라는 주제로 발표하고 있다. [유대길 기자, dbeorlf123@ajunews.com]