사후약방문 식의 기술적 규제가 문제를 악화시킨 사례를 보자. 2011년 현대캐피탈 등의 금융대란으로 소위 557 규정을 만들어졌다. 금융당국은 정보기술부문 인력을 5%, 정보보호 인력은 정보기술부문 인력의 5%, 정보보호 예산은 정보기술 예산의 7%를 두도록 하는 소위 ‘557 규제’ 등을 추가했다. 그런데 금융 사태는 줄어든 것이 아니라, 더 빠른 속도로 늘어났다. 획일적 규제는 마치 포커에서 상대방에게 패를 다 보여주고 게임하는 것과 비슷하다. 금융기관들은 해커의 방어라는 본질보다는 금융당국의 형식적 규제만 통과하면 법률적 책임을 면해 왔다.
이번 카드 대란은 서버 보안의 대표적 문제다. 특정인이 전체 정보를 파악하지 못하게 하는 제도와 유지관리가 서버 보안의 핵심이다. 암호화는 기초 중의 기초다. 그런데 우리는 50%의 컴퓨팅 파워가 더 필요하다고 암호화조차 하지 않았다. 그런데 금감원 감사는 통과했다. 그럼에도 정부는 책임지지 않는다.
전자금융에 관한 국제협약인 바젤 협약은 ‘기술의 진보에 대응하기 위해서는 정부가 특정 기술을 획일적으로(one fit) 강요하지 않아야 한다. 일회성 비밀번호, 생체신호, 보안토큰 등 다양한 보안기술들은 금융기관들이 자율적으로 반드시 결정해야(must determine) 한다’고 규정하고 있다. BIS로 유명해진 국제금융협약인 바젤협약은 바로 정부 기관들이 기술적 진보를 감안하지 않은 획일적 규제의 유혹에 빠져들 것을 걱정했기 때문이다. 다행히도 대부분 국가들이 이와 같은 획일적 규제를 실시하지 않았다. 그런데 불행히도 한국은 바젤협약을 철저히 무시하고 있다.
이제 한국의 금융보안 문제와 관련해 2010년 한국을 방문했던 브루셔 슈나이어 박사의 충고를 들어보자. “보안은 특정 기술에 의존해서는 안 된다. 보안은 조직의 제도와 문화다.” 기술은 날로 발전한다. 이제 해킹 기술은 전통적 피싱, 파밍을 넘어 정밀 타격을 하는 스피어 타깃팅(Spear Targeting)으로 발전했다. 통신 선로에서 정보를 낚아채던 단계(MITB)에서 PC 안에 들어가는 단계(MIPC)를 거쳐 이제는 브라우저 안으로 파고드는 단계(MITB)로 진화하고 있다. 우리가 액티브 엑스(ACTIVE X) 라는 보안에 취약한 기술을 남용하면서 수없이 내려 받았던 보안 모듈들이 더 이상 유효하지 않게 됐다는 것이다.
이제 보안기술은 새로운 차원으로 발전하고 있다. 가장 주목되는 분야는 사용자의 사용 행태에 따른 분석(FDS)이다. 이 프로파일 분석기술은 기술적 보안단계에서 인간 행태적 보안단계로 넘어서고 있다. 이 단계에서는 특정기술의 강요는 있을 수 없고 있어서도 안 된다. 보안의 가장 중요한 요소는 사람이다. 전체 보안사고의 압도적 다수가 이번 카드대란 사태와 같이 기술적 문제가 아니라, 사람에 의한 보안정보 유출 사고다. 바로 보안의 핵심은 진화하는 제도의 문제로 귀결돼 가는 것이다.
지금도 늦지 않았다. 금융거래 형태에 따른 다양한 금융인증 방법을 금융기관에 넘겨주고 그 책임은 징벌적 배상제를 포함해 금융기관이 지게 하라. 그러면 금융기관들은 당국이 아니라 고객을 위해 해커와의 실시간 전투에 임하는 경쟁에 돌입할 것이다. 보안에 실패하면 금융기관이 망해야 한다. 금융기관에 자율을 주고 결과에 대해 엄격한 책임을 묻게 되면 우리의 불편하고 안전하지 않은 금융에서 쉽고도 안전한 글로벌 개방성을 획득할 것이다.