메뉴

검색
닫기

[벤처칼럼] 금융회사, 투자대비 보안기술 선택 신중해야

최찬영 금융보안원 차장

기사입력 : 2017-12-14 10:12

공유 0
left
최찬영 금융보안원 차장
한류의 후광으로 세계적 나비효과를 지속적으로 만들어 나가는 해외 역직구, 천송이코트 사건을 기억하는 분들이 꽤 있을 것이라 생각된다. 중국의 소비자가 <별에서 온 그대> 드라마의 여주인공이 입은 코트가 마음에 들어 우리나라 인터넷 쇼핑몰에서 구입하려 했는데 공인인증서 때문에 구입을 하지 못했다는 것이었다. 필자는 공인인증서 논란에 대해 논의하려고 하는 것이 아니라 사이버보안, 금융보안에 대해서 나름 알기 쉽고 재미있게 펼치고자 한다.

인터넷은 전 세계 사람들을 컴퓨터로 연결시켜 주는 장점이 있는 반면에 익명성으로 인해 악성댓글, 해킹 등의 부작용도 유발한다. 공인인증서는 이러한 익명성으로 인한 부작용을 제거하고 해당 공인인증서의 주인이 해당 계약 등을 했다는 인감도장, 서명과 같은 개념이다.

해커는 아무리 성능이 뛰어난 보안기술이 있다 하더라도 개인정보나 금전을 탈취하기 위해 관련 기술을 분석하여 취약한 부분을 찾아내거나 아니면 우회할 수 있는 방법을 찾는다. 공인인증서도 그러한 기술 중 하나인 것이며 이러한 사이버보안의 특성으로 인해 전문가들은 종심방어(Defence in Depth)라고 불리는 이중 삼중의 보안이 필수라고 말한다.

우리는 시장경제체제에서 중요하고 기본적인 이론 중의 하나는 투자했을 때 얼마나 이익을 얻느냐 하는 ROI(Return on Investment)이다. 보안 관점에서만 보면 5중의 보안이 2중의 보안보다는 훨씬 좋겠지만 ROI 관점에서 보면 2중의 보안이 투자 대비 효과가 가장 우수할 수 있다. 그래서 보안학자, 경제학자들은 2000년대 초부터 보안에서의 ROI인 ROSI(Return on Security Investment)를 구하려고 노력해 왔다.

하지만 ROSI는 ROI와 달리 계산하는 것이 쉽지 않다. ROSI에서의 이익은 해킹 피해를 입지 않는 것인데, 여기서 해킹 피해는 해커라는 소수의 집단에 의해 발생하고 해커의 수준에 따라 피해정도가 다르기 때문에 불확실성이 매우 높다. 또한 실제 피해가 발생했을 때 피해 정도를 구하는 것도 쉽지 않다.

예를 들면, 최고의 보안전문가가 당대 최고의 보안시스템을 구축했지만 해커가 해킹에 성공하게 되면 해당 보안시스템의 ROSI는 최악이 되는 것이다. 많은 투자와 함께 해킹 피해까지 입었기 때문이다.

그래서 전문가들은 이러한 ROSI의 불확실한 부분인 피해액을 산정하기 위해 여러 가지 방안을 고안해냈으며 그 중 현재까지 가장 인정받는 방법이 Lawrence Gordon 및 Martin Loeb의 the Gordon & Loeb 모델이다. 이 모델은 해킹 등 사이버피해가 발생하면 명시적 비용과 잠재적 비용이 발생하며 각 비용은 직접비용과 간접비용으로 나뉜다는 것이다. 명시적 비용 중 직접비용은 매출이익 감소액, 간접비용은 예방 투자액, 잠재적 비용 중 직접비용은 잠재적 책임비용, 간접비용은 이미지손상, 주가하락 등이 있다.

하지만 이 방법에서 이미지손상, 예방 투자액 등은 여전히 정확한 비용을 계산하기가 쉽지 않으며 피해액의 불확실성은 여전히 존재한다. 그래서 보안 전문가들은 이를 보완하기 위해 IT투자에서의 보안투자 적정 비율 등을 구하려고 노력하고 있다.

금융회사는 이러한 투자 대비 이익에 대해서 정량적으로 고민하는 것 외에 정성적인 것이 더욱 중요하다고 생각한다. 왜냐하면, 금융회사는 다른 업종과 비교해서 신용이 매우 중요하기 때문이다. 글로벌이코노믹 독자 분들 중에는 해킹사고가 자주 발생하는 금융회사에게 돈을 맡기거나 금융서비스를 이용하는 사람은 없을 것이라 생각한다. 그러므로 금융회사들은 ROSI를 이용해서 보안투자를 할 때 다른 업종보다 보다 신중해야 할 것이다.


최찬영 금융보안원 차장 최찬영 기자가 쓴 기사 바로가기 →



많이 본 칼럼 뉴스

라이프