지능화·정교화되는 사이버 위협에 대응하기 위해 금융당국이 금융보안 감독 방식을 기존 ‘사후 제재’ 중심에서 ‘사전 예방’ 중심으로 전환한다. 사고가 터진 뒤 매를 드는 방식으로는 급변하는 디지털 리스크를 차단하는 데 한계가 있다는 판단에서다.

금융감독원은 7일 오후 2시 여의도 본원 대회의실에서 국회, 금융협회, 국내외 보안업계 관계자들이 참석한 가운데 금융보안 패러다임 전환 간담회를 개최하고 ‘사전예방적 디지털 리스크 감독방안’을 발표했다.

이찬진 금융감독원장은 개회사를 통해 “최근의 전산장애는 기본적인 의무 미준수나 내부통제 미흡에서 기인한 경우가 많았다”며 “감독 방식을 사전 예방 중심으로 전환해 금융회사의 선제적 위험관리를 확립하겠다”고 강조했다. 특히 “기본적 의무 이행을 소홀히 해 사고를 낸 경우 ‘무관용 원칙’에 따라 엄중 문책하겠다”고 밝혔다.

이번 방안의 핵심은 ‘선제적 위험관리’와 ‘디지털 복원력 강화’다. 금감원은 올해 2월부터 가동된 ‘금융보안 통합관제시스템’을 적극 활용할 계획이다. 금감원이 위협 요인을 신속히 전파하면 금융회사가 자율 점검하고, 그 결과를 금감원이 다시 평가하는 유기적 환류 체계를 가동한다. 또한 사고 개연성이 높은 고위험 금융회사를 선별해 집중 점검하는 한편, 블라인드 모의해킹과 버그바운티(보안 취약점 신고 포상제) 등을 통해 유사시 서비스가 즉각 재개될 수 있도록 복원력을 극대화할 방침이다.

보안 전문가들은 전사적인 보안 문화 내재화를 주문했다. SK쉴더스는 “SW 공급망 관리 등 취약 요인의 선제적 식별이 필수적이며, 경영진의 관심과 투자가 뒷받침돼야 한다”고 제언했다. 팔로알토네트웍스는 “AI를 활용한 사이버 공격은 방어자에게 훨씬 큰 부담을 주는 비대칭 구조”라며 “글로벌 사이버 위협에 대비한 민관 상시 협력 체계 구축해야 한다”고 강조했다.

이형재 기자 hjlee@naeil.com