북한 해킹에도 대답없는 사이버테러방지법 "응답하라, 국회"

[미디어펜=이원우 기자]개인정보 해킹에 대한 위협이 날로 가중되는 가운데 신용정보법(신용정보의 이용 및 보호에 관한 법률) 개정안이 오는 12일부터 발효되면서 시중은행들도 대응에 나서고 있다. 하지만 북한의 해킹 우려에 사이버테러방지법 없이 근본적인 대안이 될 수 있다는 지적이 나오고 있다.

11일 금융권에 따르면, 이번 개정안은 명칭 그대로 고객들의 신용정보를 '보호'하는 것에 초점이 맞춰져 있다. 개인정보 관련 금융기관들의 업무를 세분화하고 정보의 소유주인 고객들의 권한을 확장하는 내용들이 골자를 이룬다.

개정안에 따라 시중은행들은 거래가 종료된 고객정보의 경우 철저히 분리보관을 실시해야 한다. 거래종료 5년이 경과한 고객의 개인신용정보는 기존 거래원장에서 삭제하고, 법령에서 정한 분리보관 사유에 해당되는 경우 별도의 서버시스템을 구축해 이전해야 한다. 

고객 또한 개인신용정보의 삭제를 요구할 수 있으며 은행이 자신의 정보를 어떻게 이용하고 있는지에 대한 현황 확인을 금융기관에 요청할 수도 있다. 

우리은행 등 주요 시중은행들은 이미 개정안 발효에 맞춰 준비를 마친 상태다. 지난 10일 임종룡 금융위원장은 여의도 국민은행 본점을 방문해 시스템 개편 시연을 참관하고 개인신용정보 보호실태를 점검했다. 

이후 실시된 간담회 자리에서는 금융기관의 건의사항이 나오기도 했다. 국민은행 측은 개인정보 관련 법률을 신용정보법으로 단일화, 금융질서 문란자의 신용정보는 사고예방을 위해 분리 보관하지 않아도 되도록 예외 인정, 개인신용정보 활용과정의 반복되는 고지의무 완화 등을 요구사항으로 꼽았다. 이에 대해 금융위 측은 "수용 여부를 검토하겠다"고 답변했다.

한편 정보보호법 개정으로 은행들이 고객정보를 신중히 다루도록 바뀌고 있지만, 금융기관들의 노력만으론 해킹 피해를 근본적으로 막을 수 없다는 지적도 있다. 

금융권 한 관계자는 "정보 자체가 보호되는 것도 물론 중요하지만 더 중요한 건 실질적인 금전 피해를 막아야 하는 것"이라면서 "이는 금융기관의 노력만으론 쉽지 않은 면이 있다"고 말했다.

실제로 최근 위협이 되고 있는 '금융 해킹'의 경우 금융기관의 부주의보다는 보안 협력업체의 벽이 뚫려서 불거진 측면이 결정적이다.

지난 8일 국가정보원은 긴급 국가사이버안전대책회의를 열어 "인터넷뱅킹 보안 업체의 코드서명인증서(공인인증서 정품 확인서)가 북한 해킹조직에 탈취 당했다"고 밝혔다. 

코드서명이란 온라인상에서 사용자가 자신을 인증할 수 있는 '사인'인 셈인데 이 코드서명값이 교란되면 해커들은 자신들의 악성코드를 '보안 프로그램'으로 둔갑시켜 사이버 범죄에 나설 수 있다. 

이번 코드서명값 탈취사건에서 북한 요원으로 추정되는 해커들은 국내 대다수 금융회사의 인터넷 공인인증서 보안을 관리하는 1차 협력업체 이니텍에 정보유출 방지 프로그램을 납품하는 2차 협력업체 닉스테크를 목표로 삼았다. 

탈취 정황이 드러난 즉시 대처에 나섰기에 실제 피해는 없었지만 인터넷뱅킹 마비나 무단 계좌이체 같은 금전피해가 대규모로 발생할 수도 있는 상황이었다.

문제는 금융기관들이 협력업체, 그것도 1차 협력업체에 납품하는 2차 업체의 보안 프로그램 상에 존재하는 허점까지 모두 통제할 수는 없다는 점이다. 그렇기에 '북한 해킹에 대처하기 위해서는 금융회사와 다방면의 협력업체를 모두 아우르는 종합대책이 나와야 한다'는 지적이 나온다.

고려대학교 정보보호대학원 김승주 교수는 현재 국회 계류 중인 사이버테러 방지법의 중요성을 강조한다. 그는 "사이버 세계에는 민-관 사이의 경계가 없기 때문에 부처별로 나눠서 접근하는 방식에는 한계가 있다"면서 "해킹을 당했을 경우 여러 기관들이 정보를 빨리 공유해서 사고의 확산을 막자는 것이 바로 사이버테러 방지법의 취지"라고 설명했다.

그러나 사이버테러 방지법은 현재 정치권에서 합의를 보지 못해 국회통과가 늦어지고 있는 상황이다. "조속한 처리"를 공식입장으로 내놓고 있는 새누리당과 달리 더불어민주당을 비롯한 야권은 "국정원의 통제권을 강화한다"는 이유로 법의 통과에 반대하고 있다.