지난 2009년 7월7일 청와대와 국방부, 네이버(
NAVER(035420) (213,500원 0원 0.00%)) 메일, 국회, 은행, 언론사 등 수십 개 사이트가 ‘디도스(분산 서비스 거부)’ 공격을 받아 서비스가 일시적으로 마비됐다. 이른바 ‘7·7 디도스 공격’이다. 이 컴퓨터 서버나 네트워크 장비가 처리할 수 없을 정도의 과도한 트래픽을 일으켜 데이터 전송에 장애를 일으키는 사이버 테러다.
7.7 디도스 사건은 금융권에 큰 충격을 줬다. 이날 신한은행과 옛 외환은행(현 하나은행), NH농협이 공격을 받았고, 이튿날 KB국민은행과 우리은행, 하나은행, IBK기업은행으로 이어지면서 대응을 못했던 일부 은행 사이트가 피해를 입었다.
대전의 한 농협 지점에 업무 중단을 알리는 안내문이 붙어있다.(사진=연합)
2011년 4월12일은 금융권을 대상으로 한 사이버 공격 중 최악의 날로 꼽힌다. 이날 오후 5시 20분경 갑자기 전국 농협 전산망 마비로 NH농협은행의 업무가 전면 중단됐다. 여러 날동안 자동이체와 금융거래 차질이 생기고 업무는 수기로 이뤄졌다. 금융권은 겹겹의 보안과 백업으로 안전하다는 인식이 무너졌다.
비슷한 시기, 금융권 개인정보가 대량으로 유출되는 사건도 발생했다. 현대캐피탈이 약 175만명 고객의 정보를 해킹당했다. 필리핀 등지에 있던 해커들이 고객정보를 빼낸 뒤 현대캐피탈에 돈을 요구한 것이다.
사실 사이버 보안은 간단하다. 외부와 연결된 통로를 다 막거나 끊으면 된다. 금융권에서도 2013년 12월부터 도입된 금융권 망분리 규제에 따라 내부망과 외부망을 분리해 운영해왔다.
하지만 생성형 인공지능(AI) 대부분이 클라우드 기반에서 제공되고 있어 AI 서비스 도입을 위해 망분리 규제를 풀어달라는 요청이 계속돼왔다.
지난 13일 금융분야 망분리 개선 로드맵 발표 행사가 열렸다.(사진=금융위원회)
이에 김병환 금융위원장은 지난 13일 '금융분야 망분리 개선 로드맵'을 발표했다. 연구·개발 환경의 망분리를 개선해 혁신적인 금융상품을 개발할 수 있는 환경을 조성하겠다는 취지다. 생성형 AI 활용과 클라우드 기반의 서비스형 소프트웨어(SaaS) 이용 확대가 기대된다.
하지만 우려점도 있다. 개인신용정보도 자체 서버가 아닌 클라우드에서 처리한다. 연구개발분야의 경우 보안 방식이 '물리적 망분리가'이 아닌 소프트웨어(SW)를 이용한 '논리적 망분리'라 자칫 개발성과가 유출될 수도 있다.
금융위는 보안 우려를 의식해 디지털금융보안 강화 방안도 함께 추진한다고 밝혔다. 금융사에 정보처리를 위탁받은 제3자에 대한 감독·검사권 등을 마련하고 내년 하반기에는 ‘디지털금융보안법’을 제정, ‘자율보안-결과책임’ 원칙을 확립할 계획이다.
문제는 시스템이 완벽하다고 해도 인적 실수까지 막기는 사실상 불가능하다는 것이다. 열 사람이 한 도둑 막기 어렵다는 얘기가 괜히 나온 게 아니다. 해킹사고가 끊이지 않는 이유다. 특히 사이버 공격에 AI가 활용되면 보안 자체가 무력해질 수 있다. 보안 취약점이 쉽게 노출되기 때문이다. 오죽하면 한 보안업체 대표가 “AI를 이용한 사이버 공격은 막을 수 없을 것”이라고 했을까. 그만큼 사이버 세상에서는 방어가 더 어렵다.
게다가 사이버 위협도 증가하는 추세다. 국제금융센터는 지난 1월 2024년 글로벌 은행산업의 5대 잠재 리스크 중 하나로 AI 기반의 사이버 위협을 꼽았다.
요즘 현금성 자산은 실물이 아닌 데이터 형태로 저장된다. 옛날처럼 현금 뭉치를 장롱 속이나 장판 아래에 숨겨두는 게 아니다. AI를 활용한 상품과 서비스도 중요하지만 한 번이라도 뚫리면 자칫 내 돈이 삭제될 수 있는 것이다. 적어도 금융만큼은 소 잃고 외양간을 고칠 수 없는 노릇이다.