MS 정전사태 방어한 금융권 “망분리 덕분 아냐, 규제 강화 없어야”
지난달 마이크로소프트(MS) 클라우드가 장애를 일으키면서 세계 항공, 금융, 의료, 통신의 시스템이 마비 됐으나 국내 금융권은 거의 피해가 발생하지 않았다. 일각에선 망분리·클라우드 규제 덕분에 피해가 없는 것 아니냐는 평가가 나오고 있으나 정작 금융권에선 규제 덕을 본 것이 아니라고 강조한다.
금융권과 전자금융업자, 보안 업계, 학계는 5일 여의도 금융투자협회에서 진행된 ‘금융권 현안 세미나’에서 망분리 효과가 MS 정전사태 방지에 큰 영향을 주지 않았다고 주장했다. 그러면서 이번 MS 정전사태로 인한 금융권 보안 규제 강화 가능성에 대해 경계했다.
사태의 발단은 이렇다. 지난달 19일 미국의 사이버 보안업체 크라우드 스트라이크가 고객사에 SW 업데이트를 위해 패치를 배포하면서, 윈도우 컴퓨터에 블루스크린이 뜨는 문제가 발생했다. 이러한 오류는 전세계 항공, 금융, 기업 등의 IT 시스템에 영향을 미쳤다. 이후 크라우드 스트라이크가 자사 업데이트가 MS 정전사태의 원인이라고 인정하면서 사건은 일단락 됐다.
이날 세미나에 참가한 금융권과 전자금융업자는 MS 사태를 규제 측면에서 보는 것이 아닌, 근본적인 원인을 봐야 한다고 당부했다. SW 배포로 인한 시스템 장애, 악성코드 감염 등이 발생할 수 있는 점을 고려해 이에 걸맞는 보안 체계를 마련하고, 이를 금융사에게 자율로 맡겨야 한다는 이야기다.
윤명근 국민대 교수는 “큰 사건일수록 본질에 대한 이해가 필요하다”며 “금융권에서 많이 쓰이는 SW 제품을 체계적으로 검증하는 계획이 필요하다”고 제시했다.
지정호 토스 CISO는 “국내에서 시행 중인 망분리 규제, 클라우드 규제로 인해 피해가 크지 않다는 것은 부정할 수 없으나, 해법을 규제에서 찾기보다 본질적인 원인에서 찾아야 한다”고 강조했다.
예를 들어 이번 사태의 중심인 크라우드 스트라이크를 사용하지만 피해가 없었던 기업이 있을 수 있고, 망분리 규제와 클라우드 규제를 적용받지 않는 기업이어도 MS 정전사태에 영향을 받지 않았을 것이라는 게 지정호 CISO의 주장이다.
이재용 KB국민은행 CISO도 “MS 정전사태가 국내 금융권에 영향을 미치지 않았던 것은 망분리 환경이 아닌 망분리로 인한 업데이트 프로세스가 영향을 미쳤다”고 말하며 공감했다. 이어 “국민은행의 경우 외부에서 파일을 반입하면 바로 시스템에 적용하지 않고 유연성 점검을 하고, 내부 테스트에 이를 적용할 때는 저장식이동장치(USB)로 모델별로 테스트를 해 점검한다”고 설명했다.
업계는 MS 정전사태를 계기로 당국이 금융권에 대한 클라우드, 망분리 규제를 강화할 것이 아니라 근본적인 해결책을 마련해야 한다고 촉구했다. 이들이 말하는 해결책은 일괄된 금융 보안 규제가 아닌 기업별 자율 보안 규제를 해야 한다는 것이다. 자율 규제를 하는 대신 당국이 보안 현황을 꼼꼼하게 관리 감독해야 한다는 의견도 제시됐다.
지정호 CISO는 “(보안) 규제를 강화하는 대응 전략보다 원인이 된 문제를 고민했으면 한다”고 당부했다. 또 “주요 시스템을 이중화한다거나 데이터 백업 복구를 철저히 하는 등의 기업 환경에 맞는 신속한 복구 전략을 갖춰야 한다”며 “복구 전략이 실질적으로, 체계적으로 동작하는지 검증하는 부분이 중요하다”고 말했다.
이성권 엔키화이트햇 대표는 “패치를 위한 업데이트 오류로 인한 사건은 과거에도 있었다”며 “사이버 공격은 항상 닥칠 수 있는 문제”라고 말했다. 그러면서 “금융사가 장애를 빠르게 복구할 수 있고, 그에 대한 숙지가 되어 있는지 등 장애 발생 시 훈련 매뉴얼대로 동작하는지를 점검할 필요가 있다”고 덧붙였다.
금융당국은 기업별 개별 보안 정책의 필요성에 대해 공감하면서도, 기업별 보안 수준이 다른 점을 고려하면 고민해볼 필요가 있다고 답변했다. 안태승 금융감독원 팀장은 “궁극적으로 금융사가 보안체계를 자율적으로 해나가야 한다고 생각한다”며 “다만, 업권별로 보안 책임에 대한 수준이 있어 당국에서 고민이 많아 단계적으로 (규제개선을) 끌고갈 수밖에 없을 것 같다”고 입장을 밝혔다.
아울러 장애 대응을 위한 실효성있는 비상대책을 수립해야 한다고 강조했다. 안 팀장은 “시스템 복잡도가 점점 증가하고 있어 정상적으로 시스템을 복귀하는 사이버 복원혁 강화에 초점을 맞출 필요가 있다”고 설명했다.
글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network