[전자신문] 2024.04.09
북한이 개입한 정확이 확인됐다. 정부 당국도 대한민국 국민을 노리는 악성 애플리케이션 판매자가 북한 정보기술(IT) 조직원인 것으로 파악했다. 국제자금세탁방지기구(FATF)도 최근 증가한 사이버 사건이 북한의 불법적 사이버 활동과 연결됐다고 평하고, 확산금융과 연관성에 대한 보고서를 발표했다.
비대면 금융사기라고 말하는 보이스피싱·스미싱·메신저피싱 등 '사이버 금융 사기·공격'과 피해, 해결 방법을 논하고자 한다.
사진: Unsplash의CardMapr.nl
사이버 금융 사기·공격 국가의 사이버안보 문제로 봐야 할것 같지만, 그렇지 않다. 대상이 대한민국 국민 개개인이고, 경로가 은행의 자금 이체·신용카드, 생활·쇼핑 등 개인의 금융 생활이기에 금융 문제다.
특히 대통령이 사이버 금융 사기·공격의 심각성을 파악해 지난해 11월 9일 사후 보상대책 시행을 지시했고, 이에 올해 1월 1일부터 전 은행권에서 사후 보상 대책이 시행됐다.
스미싱을 과학기술정보통신부가, 보이스피싱·메신저피싱은 금융감독원이 주무 부처이며, 범죄로 이어지면 경찰이 수사한다. 경찰과 금감원, 통신사들은 지난해 9월 전기통신금융사기 통합신고·대응센터를 세우기도 했다. 이곳에선 보이스피싱 피해를 주로 접수한다.
금융당국과 금융기관은 자율적인 정책으로 여러 가지 방식의 인증 강화를 통해 사이버 금융 사기·공격의 피해를 최소화하기 위해 노력하고 있지만 공격자 수법은 끊임없이 진화하고 있어 오히려 사이버 금융 사기·공격 피해 규모는 늘어나고 있다. 각 기관이 각각의 피해 통계를 집계하는데, 이를 종합해 보면 연간 5000억원 이상 대한민국 국민의 금융자산이 사기범·적대 세력(북한 포함)에 흘러 들어가고 있다. 절대 개별적인 통계만 봐선 안 된다.
일례로 보이스 피싱 통계만 보면 감소 추세라고 안도할 수 있지만, 해킹 기술의 발전과 인공지능(AI) 기법까지 동원돼 스미싱·메신저 피싱 등은 오히려 늘어나고 있다. 또 스미싱·메신저 피싱 등은 피해자가 인지도 하지 못하는 상황에서 피해가 발생하고 있다는 것도 큰 문제다.
즉, 공격자는 은행업권, 카드업권, 통신사, 쇼핑몰 등의 개별 대응책을 넘나들며 기법을 진화하고 있다. 또 안보와 금융의 사이, 다시 말해 정부의 규제권과 민간의 자율권 사이를 오가며 공격하고 있다. 특히, 민간 금융에선 고객의 디지털 일상을 편리하도록 절차를 쉽고 간편하게 만들고 있는데, 이는 결국 공격자에게도 쉬운 공격 환경이 된 것이다.
정리하면, 공격자가 존재하고 적대세력이 개입하고 있으며, 일반 국민의 금융자산 피해가 편리해진 사이버 금융환경을 통해 일어나고 있다. 피해 규모는 계속 늘어나고 있다. 공격자는 통합·융합 공격으로 현 금융시스템과 국가 안보 체계를 넘나들며 스스로 지키지 못하는 일반 국민을 공격하다 보니 사이버 주권을 수호하는 컨트롤타워 꼭대기에 규제와 자율, 공공과 민간, 업권과 업권을 통합해 아우르는 새로운 리더십이 필요하다.
마침, 금융결제원이 트러스트원(TrustOne)이라는 모델을 2년 전부터 연구하고 개발해, 세계 어느 나라도 해결하지 못하고 보험 상품으로만 논하는 사이버 금융 사기·공격에 대응하는 솔루션을 준비하고 있다. 최근 BC카드가 동참하며 올해 2분기 시범실시를 목표로 준비 중이다.
이 모델은 정부가 일명 '사이버 범죄와의 전쟁' 정책하에 국민의 디지털 일상 보호를 위한 선제적 차단책을 구축하고, 사이버 주권 수호를 위한 세계 최초 '개인(국민)을 위한 제로 트러스트 정책'을 이끌며, 글로벌 금융 보안 기술의 한 축을 주도하는 기회가 될 것이다.
사이버 주권 수호는 국가가 사이버 공간에서의 독립성을 유지하고, 자국민과 자산을 보호하며, 사이버 공간을 통한 국가 발전을 추구하는 것을 목표로 한다. 끊임없이 진화하는 크고 작은 사이버 위협에 대응하기 위해 지속적인 노력과 혁신이 요구된다. 새로운 공격과 위협에 맞서기 위해선 업계 전체를 아우르는 적극적인 참여와 국가 안보 차원에서 바라보는 새로운 리더십이 중요하다.
- 센스톤 유창훈 대표