[프라임경제] 우리나라 금융보안 문제가 또다시 중대 기로에 섰다. 북한의 4차 핵실험과 장거리미사일 실험 강행 이후 국제사회의 대북제재 압박이 높아지는 상황.

북한은 이에 반발, 동해상에 발사체를 쏘는 등 도발을 계속하고 있다. 국지적인 도발은 물론 사이버테러 카드를 꺼내들 가능성을 배제하기 어려운 지경이다.

북측은 △2009년 청와대 등 정부기관을 겨냥한 7·7 사이버대란 △2011년 디도스공격과 농협 전산망 공격에 이어 △2013년 3월 사이버테러 및 6월 디도스공격 등을 진행한 바 있다.

북측의 사이버테러 능력이 어느 정도인지는 정확히 가늠하기 어려우나, 세계는 우리 방송과 공공기관, 금융권을 연이어 타격하려 시도하는 것은 물론 미국 영화사 소니 픽처스 엔터테인먼트 해킹 등도 북한 소행인 것으로 보고 있다.

◆금융권, 北 테러 리스크에 낮은 보안예산 투자

아사히신문은 지난 2013년 3월에 한국 금융기관 등의 컴퓨터가 바이러스에 감염된 전산망 마비 사건과 2014년 11월 발생한 소니 픽처스 해킹이 같은 집단에 의한 것으로 보인다고 지난 2월 보도했다.

바이러스 분석 결과 암호를 푸는 비밀번호가 같았고 바이러스가 외부와 통신할 때의 메시지에서 동일한 철자 오류가 발견되는 등 동일범 추정이 가능하다는 것. 이미 美 연방수사국도 소니 픽처스 사건을 북측 소행으로 지목한 바 있다.

상당한 공격력을 갖춘 것으로 생각되는 북측이 갈등 국면에서 사이버테러 카드를 꺼내들 가능성이 높아진 셈이다. 이런 가운데 사이버테러에 유기적인 대응체계 마련과 과감한 투자 증대를 지금이라도 단행해야 한다는 응급처치론이 부각되고 있다.

이미 수차례 공격에 무기력하게 당했다는 점은 차치하고라도 더 이상 미루다가는 자칫 마지막 '골든타임'마저 놓칠 수 있다는 것이다.

특히 은행 등 국내 금융권은 호된 사이버테러에 시달린 와중에도 선진국보다 낮은 수준의 투자만 하는 것이 아니냐는 질책이 나온다.

지난해 봄 KB금융지주경영연구소는 '국내·외 금융권의 정보보안 최근 동향과 전망' 보고서에서 18개 국내 은행의 IT투자예산 대비 보안예산 비율은 지난해 10~15%에 그쳤다고 밝혔다.

국내 은행의 이 같은 보안예산 비중은 미국의 은행권(약 40%)이나 영국 은행권(약 50%)보다 현저히 떨어지는 것이다. 국내·외 금융사들은 정상적인 경로를 벗어난 이용자의 이상 금융고래 신호를 탐지해 차단하는 FDS(Fraud Detection System)를 개발해 운영하고 있다.

그러나 우리의 경우 전체 투자 중 보안예산이 차지하는 비율이 적다는 점에서 조직적으로 다량의 신호를 보내는 방식의 공격에 취약하거나 이전에 예상하기 어려웠던 패턴을 이용, 공격하는 불의의 타격에 당할 가능성은 선진국보다 높을 수 있다.

◆사이버테러 '방어 개념 강화' 한발 늦어

이달 초 국민보호와 공공안전을 위한 테러방지법이 제정되기는 했지만 사이버테러, 특히 금융권에 대해서는 사각지대가 완전히 해소되지 못한 상황이라는 지적이 여전하다.

테러방지법은 국가나 지방자치단체, 외국 정부, 대중 등을 협박할 목적으로 저지르는 행위를 예정하는데 살인이나 항공기 납치, 폭발물 사용, 핵물질 사용 등이 규제 대상이다.

금융권 등 시스템에 대한 공격은 대중을 불안하게 하고 심각한 사회 혼란을 주는 일이기는 하지만, 현행 법률 체계로는 기존의 정보통신기반 보호법에 의존할 수밖에 없는 취약한 법률적 구조를 가졌다.

이 법은 과거 사이버테러에 대한 경각심이 상대적으로 높지 않던 2000년대 초반 마련돼 사실상 개인정보 보호 개념에 치중된 한계가 있다. 여기에 국가정보원의 금융 정보통신기반시설 등 개인정보가 담긴 모든 정보통신기반시설에 대해 기술적 지원 수행 가능성을 차단하는 규정도 두고 있다.

사이버테러에 대한 대응이 소극적 방어에만 치중할 수밖에 없는 데에는 단순히 각 금융기관별 예산 씀씀이 외에도 이런 시스템도 한계로 작용하는 것이다.

최근 서상기 새누리당 의원이 국가 사이버테러 방지 등에 관한 법률안을 발의했는데, 국가사이버안전센터의 설치(국정원장 소속)하는 등 민관 협력을 적극 유도하고 기관 간 유기적 협력도 한층 강화하도록 했다.

하지만 현재 19대 국회 임기 중 통과 가능성을 낙관하기 어렵다. 때문에 관련 법안이 실제로 통과되는 것은 빨라도 20대 국회의 몫이 될 전망이라는 점은 우려할 만한 대목이다.

북한은 올해 들어 미사일 발사 등 국지적 도발을 무려 네 차례나 했다. 아울러 내달 15일 김일성 생일인 '태양절'을 앞두고 체재 단속을 위한 무력 도발 분위기를 고조시키는 만큼 사이버테러에 대한 가능성은 그 어느 때보다 높다.

우리나라의 사이버테러에 대한 미온적 대처는 미국이 국가대테러센터(NCTC)를 두면서도 사이버테러에 대한 관심과 대응 전문화 정책과 엇박자를 보이고 있다.

현재 미국은 국토안보부 산하에 중앙정보국(CIA)과 연방수사국(FBI), 국가안보국(NSA) 같은 20개 정보기관의 사이버 대응조직을 통합해 2009년부터 국가사이버정보통합센터(NCCIC)를 운영해 유기적 대응과 기능 협력을 추진했다.

결국 현재와 같은 국내 사이버테러 대응 시스템에 큰 수술이 단행되기 전에는 민관협력을 통해 금융권이 스스로 문제를 헤쳐나가는 시기를 상당 기간 가져야 할 것이라는 불안감이 증폭되고 있다.

정보통신기반 보호법상 정보통신기반보호위원회에 공공과 민간을 각각 담당하는 실무위원회를 설치하도록 하되 그 필요한 사항은 대통령령에 위임하고 있다. 그런데, 우선 금융권 같은 민간 영역에 해당하면서도 공공서비스 성격이 높은 곳을 돕는 부분에서 양채널 간 협력과 교류를 유도할 필요성이 높다.

한국금융연구원 관계자는 "현재 계류 중인 사이버테러방지 법안 등 체계적인 법률 장치가 없는 상황에서 시시각각 변하는 고난이도의 테러는 큰 위협"이라고 제언했다.

여기 더해 "금융권이 사이버테러에 대응할 방어기법에 무제한 예산을 쓰도록 기대하는 것은 일기예보 발전이 없이 좋은 우산만으로 버티자는 것이나 다름없다"고 지적했다.