[인터뷰] 금융보안원은 디지털자산 시대를 어떻게 대비하나
금융보안원은 올해 초 조직개편을 통해 디지털금융 보안 대응 체계를 강화했다. 특히 기존 1팀 규모였던 디지털자산 전담 조직을 ‘1실 2팀’ 체계로 확대 개편한 것이 핵심이다.
디지털자산실은 정책 지원을 담당하는 디지털자산전략팀과 금융사 대상 보안 점검 및 기술 대응을 맡는 디지털자산기술팀으로 구성된다. 조직 규모는 실장을 포함해 총 7명이다. 주요 업무는 디지털자산 보안 조사·연구를 비롯해 관련 보안 프레임워크 개발, 보안 점검, 보안 위협 정보 공유 등이다.
디지털자산 전담 조직을 실 단위로 확대한 배경에는 디지털자산 2단계 법안(디지털자산기본법) 제정 논의와 토큰증권(STO) 법제화 등 빠르게 변화하는 규제 환경이 자리하고 있다. 금융권 전반에서 스테이블코인 등 디지털자산 사업에 대한 관심이 커지면서 보안 대응 체계 강화 필요성도 함께 높아졌다는 설명이다.
초대 디지털자산실장은 허세경 실장이 맡고 있다. 디지털자산 보안 체계 구축 방향과 금융권 대응 전략에 대한 이야기를 들어봤다.
디지털자산 시대에 금융권은 어떤 준비를 하고 있나
은행권에서는 스테이블코인 발행 측면에서 개념검증(PoC)을 하려는 곳들이 있다. 카드사를 중심으로는 스테이블코인 관련 결제·유통 구조를 어떻게 설계할지에 대한 준비가 진행 중이다. 증권사들은 토큰증권(STO)을 어떻게 발행할지에 대한 검토와 준비를 이어가고 있다.
지난해 금융권에서 보안 사고가 다수 발생했던 만큼 디지털자산 업무를 추진하는 과정에서도 보안에 대한 고민이 큰 상황이다. 한 번 사고가 발생했을 때 어떤 영향이 발생하는지를 지난해 여러 사례를 통해 경험했기 때문이다.
이에 금융사들이 디지털자산 개념검증(PoC)을 추진할 때 구축 중인 인프라에 대한 보안 점검 요청이 많이 이뤄지고 있다. 금융사 입장에서는 디지털자산이 ‘낯설다’는 점이 가장 큰 장벽으로 작용한다. 기존 전통 금융 인프라와 달리 디지털자산은 블록체인 인프라 위에서 동작하기 때문에 성격 자체가 다르다.
[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.
일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40
금융사에 요구되는 기술 역시 전통 금융 인프라와는 다른 기술이 필요하다. 블록체인이라는 진입 장벽을 느끼면서 사업을 추진해야 하는 어려움이 있는 것으로 파악하고 있다.
금보원 입장에서도 전산원장 기반 금융 인프라 보안을 책임지는 역할에서 나아가 블록체인 분산원장 기반 보안까지도 고려해야 하는 상황이다. 블록체인 분산원장 보안은 기존과 동일한 방식으로 접근하기에는 익숙하지 않은 영역이다.
특히 블록체인 생태계 위에 동작하는 코드, 즉 스마트컨트랙트(조건이 충족되면 자동으로 실행되는 계약)에 대한 보안도 함께 살펴보고 있다.
또한 모든 운영의 핵심 권한이 프라이빗키(개인키)를 통해 통제되는데, 이 영역은 전통 금융 보안에서는 다루지 않았던 부분이다. 이 때문에 글로벌 스탠더드(기준)를 학습하며 대응 체계를 구축하고 있다.
블록체인 기반 인프라 보안은 기존 전산원장과 비교해 어떤 점이 다른가
전산원장 기반 인프라는 금융사 내부망에 서버가 위치하고 망 분리 환경이 적용돼 있다. 해당 환경에서는 내부 직원의 접근 과정에서 관리자 권한이 탈취되거나 외부 해커가 망을 침투해 중요 정보를 빼내는 위험을 중심으로 보안을 관리해 왔다.
반면 블록체인 기반 인프라는 스테이블코인 등에서 퍼블릭 블록체인(공개형 블록체인)을 활용하는 경우가 많다. 퍼블릭 블록체인은 모든 거래 내역이 공개되기 때문에 기존처럼 정보를 숨기는 방식이 아니라 공개된 환경에서 보안을 어떻게 확보할 것인지가 중요한 과제다.
또한 블록체인은 거래 기록의 위변조가 기술적으로 거의 불가능하기 때문에 위변조 자체보다 블록체인에 올라가기 전 단계에서의 오류나 리스크를 통제하는 것이 핵심이다.
온체인(블록체인 안)에서 동작하는 코드인 스마트컨트랙트는 블록체인에 배포되기 전에 취약점이 없어야 한다. 한 번 배포되면 모든 사람에게 코드가 공개되기 때문에 취약점이 존재할 경우 누구나 이를 분석하고 악용할 수 있다. 이 경우 스테이블코인의 무단 발행이나 자산 탈취 등 다양한 보안 리스크로 이어질 수 있다.
또한 개인키는 블록체인에 저장되는 구조가 아니라 기관이나 금융회사, 또는 커스터디 기업이 보관한다. 해당 키가 유출될 경우 전통 금융 환경에서 관리자 권한이 탈취되는 것과 동일한 수준의 피해가 발생할 수 있어 키 관리 보안이 향후 과제로 꼽힌다.
스테이블코인은 일반 가상자산과 비교했을 때 보안 측면에서 어떤 차이가 있는지
스테이블코인은 투자 상품이라기보다 결제나 해외송금 등에 활용되는 인프라 성격이 강하다. 인프라로서 가장 중요한 요소는 신뢰이며, 이 점이 무너지면 관련 금융 서비스나 금융기관 전반에 연쇄적인 영향을 미칠 수 있다.
2023년 실리콘밸리은행 파산 사태 당시 서클에서 발행한 달러 스테이블코인인 USDC의 가치가 일시적으로 1달러에서 0.87달러 수준까지 하락했다. 디페깅(가격 고정 해제) 현상이 발생한 것이다. 이 과정에서 직접적인 손실이 발생한 투자자뿐 아니라 USDC를 담보로 한 금융 거래에서도 가치 하락으로 자동 청산이 발생하는 등 예상치 못한 연쇄 효과가 나타났다.
이처럼 스테이블코인은 단일 자산의 문제가 아니라 금융 산업 전반과 다른 금융기관까지 영향을 미칠 수 있는 기반 인프라 성격을 가진다는 점에서 이더리움, 솔라나 등 일반 가상자산과 차이가 있다. 특히 전통 금융 시장으로 확장될 경우 디파이(탈중앙화 금융) 수준을 넘어 금융 생태계 전반의 안정성에도 영향을 줄 수 있다.
또한 스테이블코인은 발행 시 국채 등 안전자산을 준비금으로 보유하는 구조가 일반적이다. 디페깅과 같은 상황이 발생하면 대규모 상환 요청, 이른바 뱅크런(예금 대량 인출 사태)으로 이어진다. 이 과정에서 준비금으로 보유한 국채 가격 변동이 발생할 경우 금융시장 전반에도 영향을 줄 수 있다. 국채는 상장지수펀드(ETF) 등 다양한 금융상품과 연결돼 있어 연쇄적인 파급 효과가 발생할 가능성이 있는 것이다.
이 때문에 금융권에서는 스테이블코인 도입과 관련해 일반 가상자산과는 다른 차원의 리스크를 고려해야 한다는 점에서 고민이 큰 상황이다.
디지털자산과 관련해 금융권의 또 다른 고민은
가장 어려워하는 부분은 인력, 즉 사람이 부족하다는 점이다. 디지털자산은 기존 금융권에서 다뤄보지 않았던 영역이기 때문에 해당 기술과 사업을 실제로 추진할 수 있는 인재가 거의 없는 상황이다.
토큰증권(STO)이나 스테이블코인 사업을 추진하는 경우에도 내부 인력을 확보하기 어렵다. 이에 전문 인력을 영입하거나, 대부분의 업무를 글로벌 전문 기업에 위탁하는 형태로 진행하게 된다.
내부 인력 부족이 지속되면서 내부 통제 리스크가 발생할 수 있다는 우려도 제기된다. 디지털자산 관련 운영과 권한이 소수 인력에 집중될 경우 통제 공백이 발생할 가능성이 있다. 동시에 외부 기업 의존도가 높아지는 점도 또 다른 리스크로 지적된다. 이러한 이유로 일부 선도 금융사를 제외하고는 디지털자산 사업 진입을 주저하는 경우도 있다.
이를 해결하기 위한 금보원의 노력은 무엇인가
블록체인 산업이 약 4~5년간 국내에서 침체기를 겪으면서 관련 투자가 거의 중단됐고, 이에 따라 인력 기반도 전반적으로 약화된 상황이다.
이에 금보원은 올해 6월 중 디지털자산 보안 인재를 체계적으로 육성하기 위한 프로그램을 운영할 계획이다. 해당 프로그램은 내부 직원과 외부 금융사 인력을 포함해 약 20여 명을 대상으로 진행된다.
교육 과정은 개념 중심의 기초지식 습득이 아니라 심화 교육으로 구성된다. 실제 프로젝트 수행과 스마트컨트랙트 보안 감사 등을 직접 수행하는 실무형 프로그램으로 설계될 것이다. 이를 통해 실무에 필요한 보안 역량을 직접 확보하는 것을 목표로 하고 있다.
교육을 수료한 인력은 향후 디지털자산실로 합류해 실제 업무를 수행할 가능성도 있다. 또한 교육 프로그램에는 외부 블록체인 전문 기업들도 강사로 참여해 산업 현장의 기술과 실무 경험을 함께 전달할 예정이다.
디지털자산실의 향후 계획은 무엇인지
디지털자산 보안에 특화된 기준을 마련하는 작업을 진행하고 있다. 내부 통제 체계를 비롯해 개인키 운영 방식, 스마트컨트랙트 개발 및 보안 방식, 블록체인 노드 등 인프라 보호 방안까지 포괄하는 ‘디지털자산 보안 프레임워크’를 개발하는 것이 핵심이다.
해당 프레임워크는 올해 상반기 중 초안을 마련하고, 하반기에는 금융사 및 업계 의견을 수렴해 배포하는 것을 목표로 하고 있다. 규제 체계가 본격적으로 마련되기 전에 선제적으로 참고 기준을 제공하는 성격이다. 향후 디지털자산 2단계 기본법이나 토큰증권(STO) 관련 법령에도 일정 부분 반영되는 것을 기대하고 있다.
또한 금융사가 안전하게 스마트컨트랙트를 개발·활용할 수 있도록 체크리스트를 포함한 보안 검증 체계를 마련하고, ‘스마트컨트랙트 보안 안내서’를 발간해 회원사에 제공할 예정이다.
특히 스마트컨트랙트 분야는 글로벌 전문 기업은 존재하지만 국내에는 관련 역량이 제한적인 상황이다. 이에 해당 영역의 전문성을 직접 확보해 스마트컨트랙트 보안 점검 역량을 강화할 계획이다.
디지털자산 시대에 금보원의 역할이 어떻게 변화할까
금융이 향후 디지털자산 중심으로 전환될 가능성도 있다고 보고 있다. 모든 금융이 완전히 전환되지는 않더라도 디지털자산의 비중은 크게 확대될 것으로 예상된다. 이에 따라 금보원의 역할도 상당 부분 변화할 것으로 전망된다. 현재는 디지털자산 전담 조직이 ‘실’ 단위로 운영되고 있지만, 향후 시장 확대에 따라 조직 규모와 위상도 더욱 강화될 가능성이 있다.
현재 금보원은 전통 금융 인프라를 대상으로 보안 관제, 취약점 평가, 대응 서비스 등을 수행하고 있다. 다만 향후에는 이러한 기능이 디지털자산 영역까지 포괄하는 종합 보안 서비스로 확대될 것으로 예상된다.
해외 주요국, 특히 미국 등에서는 전통 금융에서 디지털자산 기반 금융으로의 전환이 빠르게 진행되고 있다. 금융 산업 구조 자체가 혁신적으로 변화하고 있다는 평가도 나온다. 디지털자산 시장이 성장할수록 보안의 중요성도 함께 커질 수밖에 없고, 특히 스테이블코인 분야에서는 금융사 수준을 넘어서는 높은 수준의 보안 요구가 글로벌 기준으로 제시되고 있다는 점도 확인되고 있다.
글. 바이라인네트워크
<이수민 기자>Lsm@byline.network



