인공지능·블록체인·클라우드 등 신기술의 적극적 도입, 금융시스템의 개방 등으로 금융의 디지털 전환이 가속화됨에 따라, 바야흐로 디지털금융시대가 열렸다. 그렇지만 그만큼 금융보안 등 관련 법·제도 정비와 함께 보안과 관련한 대책이 필요하다. 당장 디지털금융 서비스의 경우 클라우드나 핀테크 기업과의 연계가 증가하여 그만큼 제3자 관련 IT 안정화 리스크가 증가하고, 디지털자산이 다양하게 확산되고 있는 만큼 보안 위협 역시 늘어나고 있으며, 금융서비스가 임베디드 금융시장에 진출하면서도 쇼핑같은 비금융서비스를 함께 제공하는 서비스 플랫폼으로 넓어지면서 역시 그에 따른 보안 위협이 증가하고 있다.

우선 법·제도 정비와 관련해서 금융보안 원칙 등이 담긴 전자금융거래법 개정안이 발의되어 리스크에 비례한 자율적 보안을 위해 7대 원칙 중심의 규제체계를 갖추면서 금융회사의 금융보안의 역량을 강화하려 하는데, 그에는 금융보안 상시평가제도도 포함되어 있다. 참고로 상시평가제도는 이미 2020년 8월 4일 시행된 신용정보의 이용 및 보호에 관한 법률이 개정됨에 따라, 신용정보관리·보호인이 개인신용정보 관리 및 보호 실태를 정기적으로 자체 점검하여 그 결과를 금융위원회에 보고하는 정보보호 상시평가제도가 도입되어 21년부터 시행되고 있다. 제3자 관련 IT 안정화 대응 역시 위 전자금융거래법 개정안은 업무 지속성, 수탁자 관리 등 제3자 리스크 관리의 내용을 담고 있는데 금융권이 적절하게 전사적인 제3자 리스크 관리 및 업무지속성 대책을 마련해야 한다. 디지털자산 확대와 관련해서는 디지털자산 거래소 공격 또는 전자지갑 개인키 탈취와 같이 현재도 발생하는 보안사고 외에 신규 디파이 서비스를 미끼로 디지털자산 발행 및 투자금 모집 후, 의도적으로 스마트계약에 취약점을 심어 디지털자산을 탈취하거나, 블록체인기술의 취약점을 악용한 보안위협에 대해 디지털자산의 특성과 용도에 맞게 적절한 대책을 세우는 것이 중요하다. 또한 금융서비스 플랫폼의 다변화로 인해 마이데이터 플랫폼, API 연계 지점 등을 노리는 공격이 증가할 수 있기에 API의 보안 강화와 함께 공격자 관점의 플랫폼 공격 시나리오와 TTP(전술·기술·절차) 분석 등 고도의 인텔리전스 역량을 갖출 필요가 있다.

금융과 기술이 결합하여 상상 이상의 서비스를 제공하는 디지털금융시대에는 그만큼 서비스를 뒷받침하고 이용자를 보호할 수 있는 보안이 필수이며 핵심이다.

이근우 변호사 (법무법인 화우)