박상원 금융보안원 원장이 지난해 12월 24일 오후 서울 여의도 금융보안원 서울 사무소에서 헤럴드경제와 인터뷰에 앞서 포즈를 취하고 있다. 이상섭 기자

[헤럴드경제=정호원·정태일 기자] “2025년은 잇따른 사고를 수습하며 역설적으로 보안의 중요성을 재확인한 한 해였습니다. 보안은 단순히 IT 부서의 전유물이 아니라, 기업의 생존을 결정짓는 ‘내부 통제’의 핵심입니다.”

박상원 금융보안원장은 헤럴드경제와의 인터뷰에서 취임 1년의 소회를 이 같이 밝혔다. 지난해 금융보안원 출범 10주년을 보낸 박 원장은 2일 취임 1주년을 맞는다. 한국은행과 금융감독원을 거친 박 원장은 남은 임기 동안 “단기적으로는 해킹 대응과 사이버 보안 강화에 중점을 두고, 장기적으로는 AI·클라우드 분야에서 보안원의 역할을 찾을 것”이라고 포부를 드러냈다.

박 원장은 최근 발생한 카드업권 고객정보 유출 사고를 언급하며 ‘보안’의 개념을 재정의했다. 외부 해킹을 막는 기술적 영역이 ‘정보보안’이라면, 내부 직원의 일탈이나 권한 남용을 통제하는 것은 ‘정보보호’이자 ‘내부통제’의 영역이라는 것이다. 그는 “사이버 보안이 전산의 문제라면, 직원이 고객 정보를 사진으로 찍어 반출하는 것은 시스템과 인간의 영역이 결합된 문제”라고 지적했다.

박 원장이 꼽은 내부통제 해결책은 ‘이사회의 관심’이다. 그는 “사외이사가 반드시 보안 전문가일 필요는 없지만, 타 금융사 사고를 반면교사 삼아 ‘우리 회사는 괜찮은지’, ‘보안 관리가 제대로 되고 있는지’를 끊임없이 묻고 담당자를 리드해야 한다”며 “경영진의 집요한 관심만이 기업 내에 보안 문화를 뿌리내리게 할 수 있다”고 강조했다.

이를 위해 금융보안원은 지난해 9월부터 사외이사 대상 맞춤형 교육 프로그램을 운영하며 이사회의 실질적인 감시 역할을 지원하고 있다. 박 원장도 금융지주를 포함한 사원기관 이사회에 직접 참석해 금융보안에 대해 설명했다. 박 원장은 “지난해 2월 전자금융감독 규정이 바뀌면서 정보보호위원회 최고책임자가 안정성과 신뢰성에 중대한 영향을 미치는 심의나 의결사항에 대해서는 이사회에 보고하도록 개정됐다”면서 “해당 프로그램을 통해 정보보안의 중요성을 강조하고, 이사회가 어떤 부분을 체크해야하는지에 짚고 있다”고 프로그램 취지를 설명했다.

박상원 금융보안원 원장이 지난해 12월 24일 오후 서울 여의도 금융보안원 서울 사무소에서 헤럴드경제와 인터뷰를 하고 있다. 이상섭 기자

박 원장이 야심 차게 추진 중인 역점 사업은 ‘은행권 공동 AI FDS(이상거래탐지시스템) 플랫폼’ 구축이다. FDS는 금융 거래 시 발생하는 사기나 이상거래를 실시간으로 탐지하고 차단해 고객 피해를 막는 시스템을 말한다. 평소 거래 패턴과 다른 의심스러운 활동이 나타나면 이를 분석해 부정 결제를 방지하는 핵심적인 보안 시스템이다.

금융보안원이 은행권 공동 AI FDS를 구축하는 것은 그간 개별 금융사가 각자 보유한 데이터만을 활용해 ‘각개전투’식으로 이상 거래를 잡아냈다면, 이제는 금융보안원이 이를 하나로 묶어 거대한 ‘공동 방어망’을 만든다는 취지다.

박 원장은 “모든 금융사의 정보를 결합해 AI로 학습시키면 탐지 정확도가 비약적으로 높아진다”며 “6개월 내 완성될 이 시스템은 자금 여력이 부족한 저축은행, 상호금융, 우정사업본부 등에도 제공해 금융권 전체의 보안 수준을 높일 것”이라고 밝혔다.

이와 더불어 보이스피싱 사기에 대응하기 위해 보이스피싱 정보공유·분석 AI 플랫폼인 에이샙(ASAP)도 가동 중이다. 전 은행권 90개 항목의 보이스피싱 관련 정보 실시간 공유하고, 국제 사기 조직과 해외 의심계좌 등 신속하게 차단하는 것이 목적이다.

박 원장은 최근 논의되는 금융사의 ‘무과실 배상책임’에 대해 “배상 책임이 가중될수록 배상할 상황 자체를 만들지 않는 것이 최선”이라며 “AI FDS 고도화에 사활을 거는 이유도 결국 사고 예방이 고객 보호의 시작이기 때문”이라고 단언했다.

지난해 12월 유동수 의원은 ‘전자금융거래법 일부개정법안’을 대표발의해 해킹 등 중대한 금융사고가 발생하거나 법규 위반 시 제재가 이루어지도록 해 정보보호의무 이행력을 강화하도록 했다. 특히 금융보안원의 취약점 분석·평가 결과에 따른 보안 조치 명령을 이행하지 않으면 금융회사에 이행 강제금을 부과할 수 있도록 하는 내용도 포함됐다. 박 원장은 “그간 금융사는 취약점 분석·평가 결과를 금융감독원에 제출할 뿐 별도의 보안 이행 조치 의무는 없었는데, 이번 개정안이 통과되면 보다 체계적으로 관리가 이루어질 것으로 보인다”고 말했다.

금감원의 ‘금융소비자보호’ 기조에 맞춰, 보안 취약점이 실질적인 개선으로 이어졌는지 면밀히 살피는 등 양 기관의 협업 모델도 더욱 고도화될 전망이다. 박 원장은 “ 금융감독원에서 금융소비자 보호를 강조하고 나선 만큼 금융 보안 기술에 특화된 금융보안원의 역할도 커질 것”이라고 말했다.

박 원장에게 지난해 가장 기억에 남는 순간을 묻자 ‘SGI서울보증의 랜섬웨어 복구’를 꼽았다. 지난해 7월 해커의 공격으로 데이터가 잠긴 상황에서 금융보안원 침해위협분석팀이 공격자와 협상 없이 기술력만으로 복호화에 성공했기 때문이다.

그는 “결국 보안의 핵심은 인재”라며 올해는 화이트해커 20명 규모의 ‘모의해킹 전문 조직’을 부서 단위로 격상시키겠다고 밝혔다. 금융사들이 가장 가려워하는 ‘취약점 사전 발견’ 역량을 극대화하겠다는 포석이다.

미래 먹거리인 AI와 가상자산 보안도 놓치지 않고 있다. 지난해 5월에는 주요 가상자산 거래소 5곳도 금융보안원 회원사로 가입하는 등 금융보안의 영역을 넓혔다. 올해 시행될 AI 기본법에 맞춰 보안 가이드라인을 제정하고, 스테이블코인 등 신기술 영역의 보안 점검 매뉴얼도 준비 중이다. 스테이블코인은 결제수단으로서 기존의 시스템을 대체할 가능성을 지니고 있으며, 발행자는 통화 발행 권한을 갖는 한편, 블록체인 특성상 사고 발생 시 사고 확산 속도가 빠르다는 점에서 보안의 중요성이 강조된다.

박 원장은 “스테이블코인의 경우 스마트 컨트랙트의 취약점, 키 관리 실패, 내부 보안 통제 부족 등의 보안 사고가 발생할 수 있어 올해에는 스테이블코인 관련 보안 체계와 가이드라인을 구축하는 작업에도 방점을 둘 예정”이라고 말했다.

아울러 데이터 경제 시대를 맞아 정보 유출 걱정 없이 데이터를 결합할 수 있는 금융데이터 인프라 확산에도 속도를 낼 계획이다.

박 원장은 “AI 시대에 유용한 데이터를 안전하게 관리하고 결합하는 인프라가 곧 산업의 경쟁력”이라며 “금융보안원이 발전하는 AI 산업의 든든한 뒷받침이 되겠다”고 강조했다.