최근 국내 대형 시중은행 중 한 곳이 은행시스템에 구축돼 있는 보안솔루션 일부를 새롭게 대체하기로 하고 가치증명(PoV) 사업에 나섰다. 보안이 무엇보다 중요해 보수적이지만 대규모 투자를 하고 있는 금융사에서 기존 금융솔루션을 대체하는 사업을 추진하는 것은 흔치 않은 일이다.
특히 기술검증(PoC)가 아니라 가치증명(PoV) 사업을 먼저 한다는 것도 주목된다. 이는 시장에서 흔하게 통용되는 일반적인 보안 솔루션 도입에 그치겠다는 것이 아니다. 금융사가 원하는 보안 로드맵에 따라 이를 충족할 수 있는 기술에 대해 보안SW 업체에 대해서도 개발하고 연구하라는 의도다. 실제 일부 금융사에선 보안SW 업계의 기술 개발이 경색돼 있고 고착화되어 있다고 우려하고 있다.
세계적인 보안SW 컨퍼런스 및 전시회인 ‘RAS 컨퍼런스’에서 논의되는 보안SW 기술과 서비스가 2-3년 후에 우리나라에서 시장이 형성되는 것도 이 같은 이유다. 해외에서 주목받거나 시장이 형성되고 있는 서비스를 수동적으로 받아들이고 개발해, 제품을 선보이는데 2-3년이 걸린다는 의미다.
물론 이는 국내 금융사는 물론 보안이 중요시되는 하이테크 사업 등에서 보안SW 기술에 대해 보수적으로 접근하고 있기 때문이기도 하다. 예를 들어 금융권에선 보안SW를 도입할 때 전제조건으로 동일 금융 업권에서의 구축 사례 유무를 중요시한다. 이미 도입돼 일반적으로 사용되고 있는 보안SW을 도입함으로서 혹시나 있을지 모른 사고 등에 대해 적어도 보안SW 선택으로 인한 책임은 없다는 것을 회피하려는 의도다.
하지만 금융권에서도 기존 보안SW나 시스템으로는 해결할 수 없는 문제가 점차 드러나고 있다. 마이데이터 사업은 물론 오픈뱅킹에 이르기까지 기존 금융사의 시스템 보안 만으로는 해결할 수 없는 채널 접점 확대가 이어지고 있다.
여기에 전자금융거래법 개정으로 기존에는 7개로 세분화되어 있던 업종이 자금이체업(송금), 대금결제업(결제), 결제대행업(대행)으로 단순화되고, 소비자 편익 향상을 위해 지급지시전달업(마이페이먼트)과 종합지급결제사업자 제도가 도입된다.
지금까지는 현금, 선불카드, 직불카드, 신용카드를 중심으로 이루어지던 결제 영역에 후불결제가 도입되어 금융서비스 영역의 혁신이 본격화될 것이다. 즉 금융사가 관리하고 제어해야 하는 외부 접점이 점차 확대되고 있다는 의미다.
또, 코로나19로 인해 기업에 활성되고 있는 재택근무, 분산근무도 금융사에 있어 보안 정책을 고민하게 하는 원인이 되고 있다. 즉, 비대면시대가 가속화되면서 금융사 보안부서에서 관리해야할 접점은 점차 복잡해지고 다양해지고 있다.
최근 만난 한 금융권 CISO는 “위험한 발언이지만 금융사 시스템에서 별도 보안 솔루션은 다 빼고 싶다”고 토로한 적도 있다. NAC(Network Access Control)이나 암호화 등은 기존 운영체제, 예를 들어 MS윈도 등에 있는 것으로 대체하고 별도의 SW를 추가로 도입하는 것은 지양하겠다는 것이다.
특히 이 CISO는 “국내 보안SW의 대부분이 1990년대~2000년도 초반에 설계된 제품들이라 클라우드, 모바일 시대에 맞지 않는다. 장기적으로 보안도 VDI처럼 돼야 한다. PC나 업무 환경이 유연해지면서도 보안은 강화되는 기반 작업이 미리 수행돼야 할 필요가 있다”고 지적하기도 했다.
대고객 서비스도 변화하고 있는 것도 새로운 보안SW에 대한 요구를 증대시키고 있다. 최근 금융사들은 ‘원앱’ 전략을 본격화하고 있다. 고객이 금융과 관련한 서비스가 필요할 때, 어렵고 복잡한 탐색과정을 거치거나 고민할 필요 없이 하나의 ‘앱’에 들어오면 해결할 수 있도록 하는 것이 원앱 전략의 취지다.
반면 하나의 앱에 모든 금융사의 서비스가 집약되다 보니 보안도 새로운 접근이 필요해진 상황이다. 최근 토스뱅크는 국내 최초로 아이폰에서도 이용할 수 있는 카드 접촉식 OTP 인증 기술 ‘스위치 OTP(switch OTP)’를 도입하기도 했다. 기존 스마트 OTP 사용이 불가능한 아이폰에서도 이용할 수 있도록 문제를 개선했다. 그동안 스마트OTP 활용에 있어 어려움을 겪던 아이폰 이용자들도 더욱 안전하고 간편하게 인터넷 뱅킹 서비스를 이용할 수 있게 됐다.
폐쇄적인 아이폰 정책에 따라 금융사들은 디지털 뱅킹 등 새로운 서비스 론칭에 제약을 겪었었다. 하지만 새로운 기술 개발은 기존에 해결할 수 없었던 문제를 적극적으로 해결하고 있다. 물론 이는 금융사는 물론 소비자의 필요가 불러온 혁신이다. 마찬가지로 편의와 보안이라는 상충되는 두 마리 토끼를 잡기 위한 지속적인 고민도 필요하다.
그동안 금융사들은 안전이라는 이유로 기존 기술을 답습하는데 초점을 맞췄다. 그러는 과정에서 보안 SW, 서비스 시장이 경색됐다는 지적도 나오고 있다. 하지만 새로운 디지털 금융 시대는 새로운 보안 철학이 반영된 혁신 솔루션을 원하고 있다. 기존 보안 시장의 플레이어는 물론 금융사들 역시 말 그대로 반복되던 관성에서 벗어나 가죽을 벗겨내는 고통을 감수해야 보안과 편의성을 잡을 수 있는 기회가 열릴 것이다.
