금융권 설치형 보안 SW 강제 폐지, '글로벌 스탠더드'를 향한 위험한 질주인가

 최근 여의도 금융권이 이른바 '보안 패닉'에 빠졌습니다.

정부가 연말까지 금융권의 설치형 보안 소프트웨어를 전면 폐지하라는 강력한 지침을 내렸기 때문입니다.

국가안보실 등 정부의 강력한 의지가 반영된 이번 조치는 고질적인 '한국형 보안 갈라파고스' 환경을 타파하겠다는 취지를 담고 있습니다.

책임을 소비자 PC에 전가하던 기존 방식에서 벗어나, 다중 인증(MFA)과 AI 기반 이상금융거래탐지시스템(FDS)을 전면 도입하여 서버 중심의 보안으로 완전히 전환하겠다는 것입니다.

보안 패러다임의 전환: 엔드포인트에서 제로 트러스트로

정책의 방향성 자체는 명확하고 올바릅니다.

미국 JP모건 체이스 등 글로벌 금융사들은 이미 소비자 PC에 별도의 보안 플러그인을 강제로 설치하지 않습니다.

대신 접속 기기 정보, 위치, 거래 패턴 등을 서버단에서 실시간으로 분석하는 FDS와 제로 트러스트(Zero Trust) 아키텍처를 통해 안전을 담보합니다.

앞서 카이스트 연구진이 지적했듯, 웹 브라우저 보안을 우회하는 국내 의무 보안 소프트웨어의 구조적 취약점은 이미 패러다임의 전환을 촉구하고 있었습니다.

진정한 보안은 사용자에게 무거운 프로그램을 강요하는 것이 아니라, 보이지 않는 곳에서 시스템이 스스로 위협을 통제하는 지능형 보안으로 나아가야 합니다.

금융권이 두려워하는 진짜 이유: 대안 부재와 '책임의 무게'

하지만 현장의 실무적인 목소리는 매우 절박합니다.

핀테크나 모바일 중심의 환경과 달리, 고액 자산가나 중장년층이 주로 이용하는 PC 기반의 인터넷뱅킹 및 HTS 환경에서는 당장 기존 백신과 방화벽을 대체할 뾰족한 수단이 없습니다.

더 큰 뇌관은 '사고 발생 시 배상 책임'에 있습니다.

과거 설치형 보안 프로그램은 해킹 등 금융사고 발생 시 금융권이 "의무 보안 조치를 다했다"고 항변할 수 있는 일종의 강력한 법적 방어막 역할을 해왔습니다.

이 방어막을 하루아침에 걷어낸다는 것은, 사고 발생 시 금융사가 수십, 수백억 원의 책임을 100% 떠안아야 한다는 것을 의미합니다.

과거 액티브X 폐지 논의 때부터 금융권이 번번이 속도를 내지 못했던 이유 역시 이런 무과실 책임주의에 대한 엄청난 공포 때문이었습니다.

법적·제도적 완충장치나 가이드라인 없이 수십 년간 구축해 온 시스템을 당장 걷어내라는 지시는 실무적으로 가혹한 측면이 있습니다.

안전한 연착륙을 위한 제언

'국가 사이버 안보 확립'이라는 거시적 명분은 결코 타협의 대상이 될 수 없습니다.

그러나 현실을 무시한 급진적인 정책 드라이브는 오히려 일시적인 보안 공백을 초래할 수 있습니다.

성공적인 '글로벌 스탠더드' 안착을 위해 다음과 같은 접근이 필요합니다.

첫째, 단계적이고 현실적인 로드맵의 적용입니다.

대체가 용이하다고 보고된 모바일 환경에서의 보안 통제 전환을 우선 완료하고, 당장 대안이 없는 PC 환경은 충분한 기술적 검증을 거쳐 유예기간을 두는 유연함이 필요합니다.

둘째, 책임 소재에 대한 명확한 가이드라인 제정입니다.

서버 기반의 이상거래탐지(FDS)가 고도화되는 과도기 동안, 책임 소재를 어떻게 합리적으로 분배할 것인지에 대한 사회적·법적 합의가 선행되어야 합니다.

사고의 책임을 오롯이 기업에만 지우는 구조는 방어적인 시스템 운영만을 낳게 됩니다.

보안은 단순한 규제 철폐로 완성되는 것이 아니라, 기술 발전과 제도의 조화로 이루어집니다.

낡은 레거시 시스템을 과감하게 수술대 위에 올린 결단은 분명 박수받아 마땅합니다.

하지만 그 대수술이 성공하기 위해서는 집도의의 과감함 못지않게, 환자의 현재 체력을 고려한 정교하고 신중한 처방이 필수적입니다.