[제883회] 지급결제시스템의 국내외 사이버보안 동향
(2022.04.22, 금융결제국 결제안정팀 추승우 과장)

(추승우 과장)
안녕하세요 한국은행 금융결제국 추승우 과장입니다. 코로나 때문에 저희가 오늘은 이렇게 온라인으로 강의를 드려야 되겠습니다. 과거에는 저희가 현장에서 직접 교육 들으시는 분들과 같이 호흡하면서 강의를 했었는데 할 수 없이 코로나 때문에 온라인으로 드리게 되었습니다. 제가 강의 드리면서 궁금하신 점이 있으면 나중에 별도로 연락을 주시면 제가 관련된 내용에 대해서 설명드리도록 하겠습니다. 오늘 제가 설명드릴 내용은 지급결제시스템의 국내외 사이버 보안 동향에 대해서 설명해드리도록 하겠습니다. 이 지급결제시스템에 대한 정의도 사실상 생소하실 것이라고 생각이 듭니다. 일반적으로 금융하면 금융회사, 금융기관, 금융시스템, 증권시스템 이런 시스템이나 용어들은 익숙할지 모르겠지만 지급결제시스템이라는 이쪽 분야에 대해서는 지금 강의를 들으시는 분들에게는 생소한 용어라는 생각이 듭니다. 더군다나 사이버 보안 같은 경우에는 최근에 여러 가지 해킹 사고나 보안 관련된 이슈들이 발생하다 보니까 사이버보안에 대한 인식이 이제는 확대가 되었는데 그래도 아직까지도 사이버보안이라는 것이 어떤 것인지 교육을 들으시는 분들에게는 조금 생소할 수 있어요. 그래서 제가 이 두 가지에 대해서 개념을 정확하게 잡아드리고 그다음에 주요 이슈들이나 동향들에 대해서 설명드리도록 하겠습니다.

[차례](p.2)
그래서 제가 오늘 드릴 말씀은 총 네 가지로 나눠서 설명드리도록 하겠습니다. 첫 번째는 지금 결제제도의 개요. 말씀드린것처럼 지급결제제도, 지급결제시스템 이러한 용어에 대해서 정확하게 전달해드리고 두 번째로 지급결제시스템에 대한 사이버 리스크. 여기서 좀 전에 말씀드렸던 사이버 보안, 사이버 리스크, 가서 또 말씀드리겠지만 사이버 복원력 이러한 내용들에 대해서 어떤 것이 그것에 대한 개념이나 정의, 개념 정의를 두 번째에서 말씀드리도록 하겠습니다. 세 번째에서는 지급결제시스템의 국내외 사이버 보안 대응 현황에 대해서 설명드리도록 하겠습니다. 마지막으로 지급결제시스템에 대한 사이버 보안에 대한 향후 전망을 설명드리도록 하겠습니다. 그래서 총 이렇게 4가지로 나누어서 개념 설명하고 거기에 대해서 오늘 주로 다뤄야 할 사이버 보안에 대한 중점적인 내용을 세 번째에서 말씀드리고 마지막으로 이 사이버 보안이 향후 어떻게 발전될 것이다, 이런 방향으로 갈 것이라는 것을 마지막으로 정리해드리겠습니다.

[1-1. 지급결제의 개념](p.3)
지급결제제도의 개요 첫 번째 부분, 지급결제의 개념부터 설명드리도록 하겠습니다. 지급결제란 거버닝 메시지에서 보시다시피 이렇게 정의하고 있습니다. 지급결제란 경제주체들이 지급수단을 이용하여 각종 경제활동에 따라 발생하는 거래당사 간의 채권·채무관계를 해소하는 행위이다. 굉장히 말이 길죠? 핵심 키워드만 설명을 드리면 지급결제라는 것은 무엇이냐면 경제주체, 경제주체라고 하면 가계, 기업, 정부 이 경제주체들이 지급수단이라는 것을 이용해서 거래 당사자 간에 채권과 채무 관계를 해소하는 행위로 생각하시면 되겠습니다. 지급결제를 설명할 때 반드시 들어가야 할 키워드가 지금 말씀드렸던 그 내용으로 이해하시면 되겠습니다. 지급결제 장표 설명이 끝나고 나서 사례를 설명드리면 이 지급결제라는 것이 좀 더 이해하기 쉬울 것이라는 생각이 듭니다. 지급결제는 저희가 지급결제시스템, 인프라에서 정의할 때 세 가지로 나눠서 구분하고 있습니다. 첫 번째 지급. 지급이란 지급인이 자신의 지급채무를 해소하기 위하여 수취인 앞으로 자금이체를 의뢰하는 지급지시. 파란색으로 표시해드렸죠? 지급지시를 송부하고 수취인이 그것을 수신하는 과정으로써 지급결제의 가장 첫 번째 단계라고 이해하시면 되겠습니다. 제가 이해하기 좀 쉽게 파란색으로 볼드처리를 했어요. 지급이라는 것은 무엇이냐면 맨 처음에 지급결제의 첫 번째 단계인데, 시작 단계인데 지급채무를 해소하기 위해서 지급수단을 이용해서 지급지시를 송부하는 단계를 지급이라고 보시면 되겠습니다. 대표적으로 보면 카드 결제, 카드가 최초로 결제될 때는 그때 결제내용에는 어떠한 물건을 어떠한 상점에서 얼마 주고 구매했는지에 대한 정보가 나오죠? 맨 처음에 그 정보가 생성되는 그 시점을 지급이라고 보시면 됩니다. 마찬가지로 예금기관에서 자금을 이체하는 행위가 지급으로 이해하시면 되겠습니다. 그다음에 지급결제에서 청산 단계가 있습니다. 청산이란 무엇이냐면 청산기관이라고 있는데 청산기관이 거래당사자 간에 개입하여 결제를 위해 송부된 어음, 수표, 계좌이체 등의 지급수단을 확인한 후 최종적으로 수취하거나 지급해야 할 차액을 산출하는 과정이다. 한 마디로 여기서 가장 중요한 단어는 무엇이냐면 거래 당사자 간, 수취인과 지급인이 있으면 거래당사자 간에 수취하거나 지급해야 할 차액을 산출, 중간 브로커가 있는 것이죠. 브로커를 통해서 서로 채권, 채무 관계를 상계하는 과정을 청산으로 보시면 됩니다. 대표적으로 지급수단의 수령, 조회, 통지 및 차액계산, 차액계산이라는 것은 두 개를 주고받을 것 같다는 것을 서로 계산해서 상계하는 행위를 차액계산이라고 하는데 이러한 행위들이 청산이라고 보시면 되겠습니다. 마지막으로 결제는 마지막 단계에 해당되는 것인데 청산 과정을 통해 계산된 금액을 지급하여 완결시키는 과정이다. 예를 들어서 결제은행에 개설된 예금계좌 간의 자금이체를 통하여 지급은행에서 수취은행으로 실제로 자금이 이동되는 것입니다. 이 부분만 보면 조금 이해하기 어려울 수 있어요. 이런 것은 거액결제라는 큰 돌아가는 프로세스를 이해하면 뒤 문장을 이해하기 쉬울 텐데 간단하게 이 부분을 설명드리기 위해서 이것을 말씀드릴게요. 한국은행이 하는 역할 중의 하나인데요. 시중은행을 통해서 일반 금융소비자가 금융거래를 하겠죠. 예금, 입금부터 이체 등 여러 다양한 금융소비자 활동을 하시는데 그중에 은행에 간에 이체가 발생하는 금액은 그것을 은행끼리 직접 하는 것이 아니라 중간에 브로커들이 있습니다. 예를 들면 일반·민간 자금이체는 금융결제원이라는 업무를 중간에서 처리하는 기관이 있는데 그 기관을 통해서 최종적으로 자금이 서로 상계가 되고 그것이 최종적으로 지급이 된 시점이 어디냐면 한국은행에 그 정보가 넘어와서 최종적으로 돈이 각각의 은행에 다시 보내집니다. 이 과정이 바로 결제단계라고 보시면 됩니다. 그것이 바로 보통 저희 시중은행에서 4시 30분에 문을 닫고 거기에 나온 하루치 금액들을 당행에 결제원을 통해서 5시 30분까지 보내면 5시 30분에 그날 동안 일어났던 금액들이 정산되어서 각 금융기관에 다시 보내는 것이죠. 바로 이 단계를 결제하고 보시면 됩니다. 제가 지금 예를 들은 것을 보시면 거기에 다 나와 있어요. 지급, 청산, 결제. 금융소비자가 A에서 B라는 은행으로 이체하기 위해서 이체를 지시하는 단계가 지급단계이고 청산은 지급지시를 받아서 중간 결제원이라는 기관이 각각의 금융기관에 주고받을 것 같다는 것을 계산해서 그것을 정리하는 과정이 청산. 마지막으로 정산된 금액이 한국은행으로 와서 한국은행의 한은금융망을 통해서 최종적으로 금융기관에 돈이 전달되는 이 과정이 바로 결제라고 보시면 됩니다. 그래서 지급과 청산, 결제 세 단계로 나눠져 있고 이것을 아울러서 우리는 지급결제라고 보시면 되겠습니다. 이것이 바로 제가 오늘 타겟팅해서 말씀드릴 지급결제에 대한 정의입니다.

[1-2. 지급결제제도 기본구조(1/2)](p.4)
앞에 계셨으면 표정을 좀 보고 이해하셨는지, 못하셨는지 알 수 있었을 텐데 아무도 안 계셔서 피드백을 못 받아서 제가 정확하게, 이해하기 쉽게 설명드렸는지 모르겠는데 나름 제가 이해를 쉽게 하기 위해서 이번 강의에서는 예를 많이 드는 방향으로 설명을 진행하도록 하겠습니다. 두 번째 다뤄볼 내용은 지급결제제도에 대한 기본구조에 대해서 두 장표를 거쳐서 설명드리겠습니다. 지급결제제도라는 것은 무엇이냐? 이걸 왜 저희가 다루냐면 지급결제라는 개념을 아까 알아봤잖아요? 이 개념을 기반으로 해서 지급결제제도를 기반해서 오늘 다룰 시스템이라든지 인프라라든지 법규라든지 이런 것들이 다 아우를 수 있거든요. 이 지급결제제도가 제일 상위 개념에 해당되는 것이고 거기에 오늘 말씀드릴 지급결제시스템에 포함되기 때문에 가장 위에 있는 상위 개념부터 설명드려야 시스템이 지급결제에 관련된 사항, 우리나라의 지급결제 분야의 어느 정도 부위에 해당되는지 이해하시기 쉽기 때문에 가장 큰 부분부터 설명해 드리도록 하겠습니다. 지급결제제도는 개인, 기업, 정부 등 경제주체들의 금융거래나 경제활동에서 발생하는 지급결제가 원활히 이루어지도록 해주는 금융시스템의 하부구조이다. 하부구조는 Infrastructure, 금융시스템의 Infrastructure인데 어떠한 Infrastructure이냐 하면 바로 경제주체들이 지급결제를 원활하게 하기 위한 하부 Infrastructure인 거죠. 그런 지급결제와 관련된 Infrastructure는 무엇으로 구성되어 있냐면 첫 번재 중앙은행, 중앙은행은 법화의 유일한 발권기관인 한국은행이 되겠죠? 대한민국은 한국은행이 중앙은행에 됩니다. 중앙은행에 개설된 예금계좌에서 금융기관의 최종결제를 담당하는 그런 역할을 하고 있습니다. 최종결제는 거액결제시스템에서 이런 것을 최종 결제합니다. 그래서 한국은행에서 이 결제 분야를 최종대부자 역할이라고 이야기합니다. 그 의미는 최종적으로 결제가 마무리되는 시점에 대한 개념을 기관의 역할의 설명을 할 때 최종대부자라는 표현을 많이 쓰거든요. 거액결제 시스템을 통해서 최종결제가 마무리되는 역할을 하는 것이 중앙은행입니다. 이 부분에 대해서 오늘 말씀드릴 지급결제제도에서 핵심 키워드라고 보시면 되겠는데 여기 나오는 거액결제시스템에 대해서는 '이게 뭐지?' 라고 생각하시는 분들이 있으실 거예요. 이것은 제가 뒷부분, 다음다음 장표에서 거액결제라는 것이 무엇인지 간단히 설명해 드리도록 하겠습니다. 그다음에 중앙은행에서 하는 역할이 지급결제제도에 대한 감시, 새로운 결제제도와 지급수단의 도입, 기존제도의 개선 이러한 행정당국으로써의 역할들을 중앙은행이 지급결제 분야에서 하고 있습니다. 그다음에 지급결제제도의 기본구조에 포함된 기본 구성에는 지급결제기관에 대한 참여기관이 있습니다. 참여기관에는 두 가지 형태가 있는데 첫 번째는 금융시장인프라를 운영하는 운영기관, 아까전에 말씀드렸듯이 지급결제는 지급과 청산, 결제라는 단계가 있다고 말씀드렸죠. 말을 바꾸어서 이것을 여기에 대입해보면 금융시장인프라를 운영한다는 것은 지급결제의 세 가지 지급, 청산, 결제를 담당하는 기관이 금융시장인프라 운영기관이라고 보시면 되겠습니다. 그러면 또 어떤 기관이 있겠습니까? 당연히 이 운영기관이 제공하는 서비스를 이용하고 그것을 가지고 금융소비자한테 서비스를 제공하는 제공기관이 있겠죠? 바로 일반 시중은행이라든지 증권회사라든지 카드사라든지가 해당될텐데요. 바로 그것이 지급서비스 제공기관입니다. 고객, 금융 소비자에게 상품이나 서비스를 구입할 수 있는 지급수단을 제공하는 기관을 지급서비스 제공기관이라고 합니다. 세 번째는 지급결제제도 관련 법규. 우리나라에도 있습니다. 지급결제 관련된 금융통화위원회에서 정한 지급결제 운영·관리규정 있습니다. 지급결제 관련해서 우리 국내 법규에는. 그다음에 글로벌하게는 국제금융에서 정한 CPMI-IOSCO에서 나온 금융시장인프라에 관한 원칙이라고 있습니다. CPMI-IOSCO가 무엇이냐는 뒷부분에서 설명해 드리도록 하겠습니다. 그다음에 지급수단. 지급수단은 이해가 쉬우실 거에요. 현금이 있고요. 현금 이외의 것 계좌이체라든지 카드라든지 어음, 수표 이런 것들이 지급수단으로 보시면 됩니다.

[1-2. 지급결제제도 기본구조(2/2)](p.5)
오늘 제가 강의를 하는 것에서 가장 핵심 포인트에 해당하는 부분입니다. 지급결제제도에서 금융시장인프라라고 하는데 저희 강의 제목이 무엇이라고 했죠? 지급결제시스템에 대해 국내외 사이버 동향이라고 말씀드렸잖아요? 바로 금융시장인프라가 지급결제시스템이라고 합니다. 한 마디로 지급결제시스템은 지급결제제도 안에 있는 하나의 기본 구성요소라고 생각하시면 됩니다. 그래서 금융시장인프라에는 청산기관, 결제기관, 거래정보 기록기관 이렇게 세 가지로 나와 있습니다. 제가 청산은 계속 설명드렸으니까 청산기관은 중간에서 브로커 역할을 하는, 상계하는 채권과 채무관계에 있어서 상계 처리를 하는 기관이 청산기관인데 우리 국내에 본다면 일반적인 자금이체에 대해서 청산기관은 금융결제원, 증권거래에서는 한국거래소, 외환 같은 경우는 CLS라고 있습니다. CLS는 뉴욕에 있어요. 이렇게 청산기관이 정해져 있습니다. 결제기관은 최종적으로 결제를 마무리하는 단계입니다. 그래서 저기 적힌 것처럼 보면 청산기관으로부터 확정된 자금이나 증권 내역을 송부받아 이를 결제기관에 개설된 각 금융기관의 예금계좌. 보통 이것을 당좌계좌라고 이야기합니다. 당좌계좌 또는 증권계좌 간에 이전시킴으로써 모든 지급결제과정을 마루리하는 기관이다. 그래서 자금결제는 중앙은행, 한국은행이 담당하고 증권 쪽 예전에는, 전자로 되어 있는 전자증권이 아닐 때는 예탁원에서 보관했는데 지금은 전자증권으로 다 바뀌어서 예탁결제원에서 시스템상으로 그런 증권들이 다 거기의 담당이죠. 그 증권에 대한 결제는 중앙예탁기관인 한국예탁결제원이 하고 자금 쪽은 중앙은행인 한국은행이 하고 있습니다. 맨 마지막에 나오는 거래정보 기록기관은 새로 나오는 개념인데 이런 지급결제를 하면서 발생하는 모든 기록들을 관리하는 저장소가 필요합니다. 지급결제 인프라에서 왜 이것이 필요하냐면 과거에 혹시라도 오류가 발생하거나 또는 부정이 발생하거나 아니면 어떠한 기록을 통해서 시스템을 개선하거나 이러한 목적으로 그 거래정보를 기록하는 기록기관이 필요한 것입니다. 사실 거래정보 기록기관의 가장 중요 목적은 감시의 목적이 더 크겠죠. 부정이라든지 장애라든지 이런 부분들을 확인하기 위해서 부정 결제라든지 확인하기 위한 목적이 더 크다고 보시면 되겠습니다. 어찌 됐든 금융시장인프라는 제가 설명드린 것처럼 이러한 기관이 나누어져 있고

[1-3. 지급결제시스템의 구조](p.6)
그다음 단계에서 제가 말씀드릴 내용은 지급결제 시스템에 대해서 구체적으로 한 단계 본격적으로 이야기할 내용으로 설명드리도록 하겠습니다. 지금까지는 저희가 지급결제 내용 설명했고 지급결제 제도에 대해서 설명드리고 지급결제 제도 안에 제가 말씀드린 것처럼 지급결제 시스템에 대해서 말씀드렸습니다. 지급결제 시스템에 대한 구조는 총 자금결제시스템, 중앙거래당사자, 중앙예탁기관, 증권결제시스템, 거래정보저장소로 구성되어 있습니다. 그래서 자금결제시스템은 결제가 자금을 취급하는 것입니다. 그래서 여기에 나오기 시작하는데 거액결제시스템이 있고 소액결제시스템이 있고 외환결제시스템이 있습니다. 자금결제시스템은 세 가지로 나눠집니다. 거액결제시스템은 이름에서 나온 것처럼 대량의 금액을 취급하는 그러한 시스템을 거액결제시스템이라고 합니다. 그래서 여기 보시면 은행간의 자금이체 시스템이라고 나와 있을 것입니다. 그래서 사실상 대량의, 보통 이체를 하기 위해서 개인들이 이체를 지시하는 개인들이 하는 만큼의 건수보다는 작지만 한 번의 건수의 금액은 굉장히 큰 것이죠. 그것이 거액결제시스템입니다. 거액결제시스템은 누가 운영하냐 바로 중앙은행들이 거액결제시스템을 운영하고 있습니다, 그다음에 소액결제시스템이 일반적인 소액자금을 대량으로 취급하는 시스템이 소액결제시스템입니다. 소액결제시스템은 금융결제원에서 취급하고 있습니다. 외환도 마찬가지로 외환의 매입, 매도를 처리하는 시스템이 외환결제시스템인데 아까 말씀드렸죠. CLS에서 담당하고 있습니다. 그다음에 지급결제시스템에서 중앙거래당사자라고 CCP가 있습니다. 청산업무를 주로 하는 것이죠. 증권 또는 파생상품 거래 계약의 매도자 또는 매수자의 역할을 하는 기관이 중앙거래당사자 CCP이고 한국거래소가 중앙거래 당사자의 역할을 하고 있습니다. 중앙예탁기관은 이쪽은 다 증권이나 유가증권, 파생상품 쪽에 관련된 사항인데 고객으로부터 유가증권을 집중 예탁 받아서의 증권 양도나 질권설정 등을 하는 그러한 기관이 중앙예탁기관으로 보시면 됩니다. 그 다음에 증권결제시스템은이 증권이 인도하고 나서 대금을 지급하는, 거래가 최종적으로 완결되는 지급결제시스템인데 증권결제템은 국내같은 경우는 어디서 하느냐 한국은행이 하고 있습니다. 한 마디로 한국예탁결제원은 증권에 대해서 결제를 하고 있지만 그 증권을 사기 위한 대금들은 한국은행이 결제를 해주는 것이죠. 그래서 증권결제시스템의을 한국은행이 합니다. 거래정보저장소는 증권거래가 발생했던 것을 가지고 기록하는 데이터베이스를 보유하고 있는 기관인데 이것은 현재 한국거래소에서 그 역할을 담당하고 있습니다.

[1-3. 지급결제시스템의 구조(2/2)](p.7)
그래서 이 전반적인 것을 그림으로 깔끔하게 그려서, 정리해서 보여드리는 것인데요. 자금결제와 증권 및 파생상품결제 두 가지 트랙으로 나눠서 설명을 드리는 장표입니다. 그래서 이쪽 라인에 보시면 지급, 청산, 결제가 지금결제의 단계라고 보시면 되고 각각의 자금결제에서는 거액자금이 있고 소액자금, 외환매매에 나뉘어서 지급지시는 금융기관들이 하고 한 마디로 금융기관을 통해서 금융소비자가 와서 금융거래를 위한 금융거래 지급결제지시를 금융기관을 통해서 하는 것이죠. 실질적으로는 지급결제시스템 안에서는 지급결제를 지시하는 주체는 금융기관이 되는 것이죠. 그다음 청산업무는 자금결제같은 경우 거액자금은 한은금융망이 결제로 바로 처리가 되고 소액자금은 결제원을 통해서 금융결제원에 다양한 금융공동망이 있습니다. 용도별로 여러 가지가 있는데 그 금융공동망을 통해서 청산하고 최종적으로 결제를 한국은행이 하고 있습니다. 외환매매도 마찬가지로 CLS를 거쳐서 각각의 중앙은행 거액결제시스템에서 결제는 최종적으로 일어나죠. 증권 및 파생상품은 장내증권과파생 장외현물과 장외 증권과 장외파생 이렇게 나누어져 있는데 주로 청산업무는 거래소가 담당합니다. 단 하나, 장외현물 기관간 주식이나 RP라든가 채권 쪽만 예탁원에서 청산업무를 하고 나머지 대다수 결제는 당행 또는 예탁원 쪽에서 결제를 하신다고 보면 되겠습니다. 그래서 이 은행을 딱 이해하시면 우리나라의 지급결제 시스템에 대한 전반적인 흐름이나 역할들을 이해하기 쉬우실 것이라는 생각이 듭니다.

[2. 지급결제시스템의 사이버 리스크](p.8)
지금까지 알아본 내용은 지급결제에 대한 개념도 알아보고 지급결제에 대한 구조도 알아보고 거기에 우리가 주로 다루어야 될 지급결제시스템에 대해서 구체적으로 알아보았습니다. 대상을 구체적으로 알게 된 것이죠. 지급결제 대상을 정확히 알고 지금부터 말씀드릴 내용은 그 지급결제 시스템에 대한 사이버 리스크에 대해서 오늘 제가 말씀드릴 내용의 본론을 지금부터 설명드리도록 하겠습니다.

[2-1. 사이버 리스크와 관련된 개념](p.9)
지급결제시스템에 대한 사이버 리스크. 지급결제 시스템은 이해하셨죠? 이제 사이버 리스크에 대해서 처음에 설명 드렸죠. 사이버 보안이나 사이버 리스크에 대해서 이해하기 어려운 부분들이 있기 때문에 이것도 제가 설명드리겠다고 말씀드렸죠. 계속? 사이버 리스크에 대한 개념부터 설명드리도록 하겠습니다. 사이버 리스크를 설명하기 위해서는 유사한 개념들도 같이 설명해야 혼란이 안 발생하는데, 헷갈리지 않는다는 것이죠. 사이버 리스크에 관련된 리스크는 운용리스크, 사이버 리스크, 사이버 복원력 이 세 가지 개념이 지급결제에서 우리가 이야기할 때, 항상 같이 나오는 개념입니다. 간단하게 정리를 먼저 해드리면 운영리스크가 사실상 어떻게 보면 더 상위의 개념이라고 보시면 되고 그 하부에 사이버 리스크가 있다고 보시면 됩니다. 그다음에 사이버 복원력은 사이버 리스크를 대응하기 위한 일종의 대응 방안으로 보시면 되요. 그래서 하나씩 우선 설명드리면 운영리스크는 정부시스템, 지급결제시스템 또는 이것은 IT시스템을 이야기하는 것입니다. 정보시스템이라는 것은. 해당 지급결제기관인 한국은행이 되었든 결제은행이 되었든 예탁원이 되었든 그 기관이 가지고 있는 지급결제 업무를 처리하는 IT시스템 또는 IT 내부 프로세스의 결함이나 인적 실수, 관리 실패 또는 외부 사건. 외부사건이라 하면 재난도 있을 테고 재해도 있을 것이고 해킹공격도 있겠죠? 이런 것으로부터 혼란이 지급결제인프라, 지급결제시스템에 제공되는 서비스를 축소시키거나 악화해서 장애를 초래하는 이러한 리스크를 다 아우르는 것이죠. 아까 제가 설명드린 것처럼 외부사건의 해킹도 들어간다고 말씀드렸죠. 그것과 이어져서 사이버 리스크를 보시면 사이버 리스크란 정보시스템 또는 내부 프로세스의 결함, 사이버 리스크 쪽에 정의가 똑같은 게 들어가 있네요. 이것을 제가 구두로 설명드린다면 사이버 리스크는 해당 인프라 시스템이 어떠한 외부적인 요인에서 의도치 않은 상황으로 발생하는 그런 것들에 대한 가능성과 그걸로 인해서 미치는 영향들을 저희는 사이버 리스크로 정의하고 있습니다. 사이버 리스크라는 것에 가장 중요한 것이 무엇이냐면 온라인과 오프라인을 다 아울러서 서로 정보를 인터커넥티드하는 모든, 전반적인 인프라를 사이버라고 이야기하고 쉽게 설명하면 온라인이든 오프라인이든 정보를 가지고 있는 것들끼리 커뮤니케이션하는 환경 내에서 발생하는 의도치 않은 어떠한 상황들에 대한 가능성과 그것으로 인해 발생하는 결과들을 전부 다 아울러서 사이버 리스크로 정의한다고 생각하시면 돼요. 그래서 사실 운용리스크 안에 사이버 리스크가 거의 포함된다고 보시면 좋을 것 같습니다. 그다음에 사이버 복원력은 한 단계 내려왔다고 보시면 되요. 해킹 등 사이버 공격으로 인한 보안사고 발생 시 신속히 대응하여 사고 피해를 최소화할 수 있는 능력이다. 사이버 복원력이라는 개념은 나온 지 한 10년 정도 된 것으로 기억하는데 뭐 더 이전에 나왔을 수 있는데 제가 처음 이쪽 개념을 접하게 된 것은 10년 정도 된 것 같은데 이게 왜 나왔냐 하면 과거까지는 사이버 공격이 들어오면 막는데, 예방하고 차단하는 것에 집중을 많이 했습니다. 그러다 보니까 해킹 공격기술이 나오고 나서 방어기술이 나오는 것이에요. 한 번 뚫리고 나야지만 그런 대응책이 나오다 보니까 이것을 근본적으로 해결하기 위해서는 사전적으로 제거하기 위한 방법을 찾아야 하는데 그것이 현실적으로 굉장히 어려웠던 것이죠. 사실 이러한 공격을 전문용어로 제로데이 어택이라고 합니다. 바로 그 시점에 기술들이 발견되어서 지금 현재 발견된 기술을 이용해서 공격을 감행하는 그런 방식을 제로데이 어택이라고 하는데요. 이렇게 해킹 공격이 발전하다 보니까 이것을 대응하기 위한 방법이 너무나도 수동적인 것이 업계 내에서는 항상 이슈가 되었던 것이죠. 그것을 해결하기 위해 뭘 했냐면 사고가 발생했을 때, 사고가 발생하는 것은 어쩔 수 없이 받아들이자, 감내하자. 그치만 발생하고 나서 최대한 빨리 복원할 수 있는 방법을 만들어보자면서 나오기 시작한 것이 사이버 복원력이라고 보시면 됩니다. 그래서 지금 현재 제가 설명드린 내용이 바로 거기에 해당된다고 보시면 됩니다. 그래서 사이버 리스크에 관련된 개념들이 위에 세 가지가 있고 나머지 지급결제 관련 리스크가 네 가지 있습니다. 이 네 가지는 지급결제 관련된 인프라에서 제가 아까 말씀드렸던 CPMI-IOSCO라는 국제기구에서 만든 지급결제인프라에 대한 원칙이라는 것이 있습니다. 어떻게 보면 국제표준이라는 것이죠. 지급결제 관련된 국제 스탠더드가 있는데 그 스탠더드에서 정의하고 있는 여러 가지 리스크 중에 좀 아시면 좋을 것 같아서 뽑아온 것이 4가지가 있습니다. 이것은 간단하게 말씀드리면 신용리스크는 지급결제에 의한 거래에 의해서 양 상대방 중 한 기관의 신용에 문제가 발생해서 지급결제가 신용상의 문제로 정상적으로 제공되지 않는 신용사회 문제를, 이런 것을 신용리스크라고 하고 그다음 보관리스크는 정보를 보관하거나 결제정보가 보관되어 있거나 원장정보가 보관되어 있거나 이런 것들이 손실되거나 도난이나 훼손될 수 있는 리스크를 보관리스크라고 하고 투자리스크는 저희가 증권투자에서도 많이 이야기하는 손실을 볼 수 있는 손실리크스입니다. 결제리스크는 이러한 신용리스크나 유동성리스크, 여기 현재 나오지는 않았지만 그런 것들로 인해서 결제가 제대로 이루어지지 않는 것들을 통칭해서 결제리스크라고 보시면 될 것 같습니다.

[2-2. 지급결제시스템 사이버 리스크 유형(1) - DDoS 공격](p.10)
지금 제가 말씀드렸던 지급결제시스템에 대해서 알아봤죠? 그리고 사이버 리스크, 사이버 보안 이쪽에 대해서도 저희가 잘 알아봤습니다. 그러면 지급결제시스템에서 사이버 보안에 어떠한 이슈들이 있을까 그 리스크 유형들을 제가 대표적인 것, 이것 이외에도 정보보안에서는 굉장히 많은 리스크 유형이 있습니다. 사이버 보안과 관련되어 그런데 제가 이렇게 뽑아 온 것은 지급결제에서 특히 특화된 리스크들만 제가 뽑아서 가지고 왔습니다. 첫 번째는 디도스 공격입니다. 많이 익숙하실 것입니다. 과거에 77 디도스 공격도 있었고 33 디도스 공격도 있었고요. 디도스 공격이라는 것의 개념은 대략적으로 어렴풋이는 다 알고 계실 거예요. 그치만 이게 구체적으로 뭐냐고 한다면 뭐지? 라고 생각하실 수 있으실 텐데요. 그것을 제가 정리를 좀 해드린다면 피해시스템이 소화할 수 없는 대규모의 네트워크 트래픽을 짧은 시간에 발생시켜서 대상 시스템의 서비스가 정상적으로 작동하지 못하게 하는 공격을 이야기합니다. 쉽게 설명하면 보통 야구에서 투수가 있고 타자가 있죠. 투수가 공을 하나 던졌기 때문에 타자가 어떻게든 공을 쳐 낼 수 있는 것에요. 만약에 타자가 공을 한꺼번에 20개의 공이 날아오는 것을 친다고 생각해보십시오. 제아무리 제가 아는 최고의 타자는 이승엽인데 이승엽도 치기가 굉장히 어려울 것이라고 생각합니다. 유사한 비유라고 볼 수 있는데 해당 시스템이 어떠한 정보 처리를 위해서 요청을 받는데 요청정보를 대량으로 짧은 시간에, 대량정보도 오랜 시간에 전달하면 처리할 수 있겠죠. 그런데 짧은 시간에 전송하다 보니까 대상시스템에서 처리를 못 해서 서비스가 멈추는 그런 현상이 발생하는 것이죠. 그러면 여기서 중요한 것이 무엇이냐면 이 대량의 정보를 어떻게 생성하냐? 짧은 시간에 보낼 수 있도록, 그 방법이 무엇이냐면 여러 개의 시스템을 이용하면 되는 것입니다. 그러면 해커가 자기가 돈을 주고 시가로 한 20만원짜리 되는 시중에 있는 중저가 서버를 수천 대를 사서 디도스 공격을 위해서 그렇게 하면 과연 그것이 효과적일까요? 아니죠. 사실상 최근의 디도스 공격은 그렇게 하지 않습니다. 어떻게 하냐면 악성코드라는 것, 여기서는 좀비라고 표현하고 있는데 그 악성코드를 일반 다른 사람의 PC나 서버, 심지어는 핸드폰 더 나아가서는 무선 공유기, IoT라고 이야기하죠. 냉장고 여기에 악성코드를 심어 놓습니다. 심어놓고 그 시스템들한테 명령을 클릭 한 번으로 내리는 것이죠. 대상시스템은' A라는 시스템, A 은행의 인터넷 뱅킹을 마비시켜.' 버튼 한 번만 누르면 좀비들이 그때 네트워크를 엄청나게 한꺼번에 발생시켜서 공격하는 것이죠. 과거에 디도스 같은 경우에는 PC나 서버, 보통 우리가 이야기하는 시스템들을 대상으로 많이 했는데 최근에는 사실 인터넷이 안깔려진 곳이 없죠. 스마트폰을 포함해서 냉장고, 무선공유기 이런 IoT기기도 전부 다 아이티 시스템이면서 인터넷이 연결되어 있으니 이런 장비들도 현재 디도스 공격에 이용이 됩니다. 이 디도스 공격을 해커들이 굉장히 좋아합니다. 왜 좋아하냐면 두 가지 이유가 있어요. 첫 번째는 이 디도스 공격은 공격자의 입장에서 과거에는 경제적으로 이득이 되는 공격인데 왜 이득이 되냐면 해당 대상기관에서는 범인을 잡기가 굉장히 어렵습니다. 그 앞에 단에 굉장히 많은 시스템들이 경유 되기 때문에 원천지가 누군지를 알 수가 없는 거예요. 알 수가 없기 때문에 과거 뉴스들을 보시면 디도스 공격해서 범인을 잡았다는 이야기는 거의 들어보신 적이 없으실 겁니다. 대부분 디도스 하면 항상 연결되는 게 북한, 이런 식의 이야기들이 많이 나오는 데 아닐 수도 있고 맞을 수도 있습니다. 어찌 되었든 추정인데 그렇게 잡기가 어렵다는 것입니다. 이 공격의 원천자를 잡을 수 없다는 것은, 공격자는 안 잡히겠다는 확신이 있는 것이죠. 과거에는 그 상황에서 거액의 금액을 요청했습니다. 내가 디도스 금액을 멈춰줄 테니 20억을 송금해라, 비트코인으로 이렇게 많이 했는데 최근에는 어떻게 하냐면 100만원, 적게는 50만원으로 기업한테 부담이 안 되는 금액으로 여러 기관에 대해서 박리다매 형태로 하는 것이죠. 그러면 해당 기관에서 어떻게 하냐면 신고를 안 합니다. 돈을 주고 마는 거예요. 그래서 디도스 공격이 최근 공격자들이 가장 선호하는 공격방식 중의 하나이고 두 번째로 돈이 많이 안 들어요. 좀비라는 악성코드 하나만 만들면 되는데 요즘에는 그걸 또 팔아요. 팔고 있어서 좀비 악성코드를 구매해서 인터넷에 널려져 있는 시스템에다가 업로드만 하면 되는데 그 업로드도 요즘에 워낙 SNS에 이미지에 좀비 코드만 넣으면 접속만 하면 모든 PC와 스마트폰, 모두가 감염됩니다. 감염이 되어도 피해자는 잘 모릅니다. 정보가 누출되는 것도 아니고 시스템이 파괴되는 것도 아니고 단지 느려질 뿐, 피해자는 인지를 못 하고 공격자는 마음대로 할 수 있고 비용은 싸고 효과는 높고 그러니까 디도스 공격이 많이 발생하고 있고요. 이 지급결제시스템에서도 왜 문제가 되냐면 지급결제시스템의 앞단에 금융소비자들을 대상으로 하는 서비스들이 몇 가지 있습니다. 비록 국내는 대부분의 지급결제시스템들이 인터넷과는 단절되어 있는 환경에 구축되어 있지만 해외 같은 경우에는 인터넷과 연결되어 있는 그런 환경들이 많이 있거든요. 인터넷과 연결되어 있으면 디도스 공격에 노출될 수 있다고 이해하시면 되는 것입니다. 그렇기 때문에 이 디도스 공격이 지급결제 분야에서 굉장히 큰 리스크로 다가오고 있고, 다가 왔고요. 지급결제 관련된 국제기구나 다양한 기관들이 이것에 대한 대응 방안을 만들기 위해 굉장히 노력하고 있습니다. 국내는 어떻게 대응하고 있느냐면 디도스 공격을 막기 위해서 디도스 대응시스템이라고 저기 보시는 것처럼 있어요. 한마디로 보안장비인 것이죠. 돈 주고 사는 거예요. 디도스 대응시스템, 한때는 저것이 효과적으로 대응을 잘했습니다. 왜냐하면 쟤도 시스템이다 보니까 쟤가 처리할 수 있는 용량도 한계가 있는 것이죠. 그러다 보니 지금은 사실 디도스 공격이 엄청난 규모로 들어오고 있거든요. 500기가, 1테라, 단위를 이해 못 하실 수 있어서 쉽게 설명드리면 저희가 100메가 이 정도는 알고 계시잖아요? 인터넷 속도 100메가, 1기가 그 정도 속도를 보통 인터넷 속도라고 이야기하는데 거기에 우선 기본적으로 8을 곱하시고 거기에 2000기가, 3000기가면 8을 곱하고 2000을 곱하시면 그것이 1초 만에 네트워크 트래픽이 해당 시스템에 발생한다고 생각하시면 되요. 그래서 이런 것들은 일반적인 시스템에서 처리하기가 굉장히 어렵습니다. 그래서 최근에 어떻게 하냐면 대피소라는 것을 만들었어요. 대피소는 이런 네트워크 공격, 디도스 공격이 들어오면 그 네트워크 공격들을 대피소로 보내고 그 공격을 기술적으로 소멸시키는 것이에요. 그러기 위해서는 두 가지가 필요하겠죠. 이것이 디도스 공격인지 아닌지 탐지하는 방법과 그것을 소멸시키는 장비가 필요하겠죠. 이것은 사실상 일반 기업에서 하기에는 굉장히 어렵습니다. 그래서 주로 어디서 많이 이 서비스를 제공하냐면 보통 인터넷 서비스를 제공하는 인터넷 서비스 프로바이더 제공자들이 이 서비스를 제공하는데 그럼 ISP는 누구냐 KT, SK브로드밴드, LG 이런 해당 ISP 업체에서 이런 디도스대피소를 운영해서 서비스를 제공하고 있습니다. 더불어 국가에서도 이런 서비스를 하고 있는데 그것이 바로 대표적인 금융 쪽에서는 금융보안원이 대피소를 운영하고 있고 민간 쪽, 전반적인 민간보안에 대한 역활은 한국인터넷진흥원이 하고 있는데 한국인터넷진흥원에서 이런 디도스대피소를 운영하고 있습니다. 이 디도스 공격은 이렇게 공격에 대응할 수 있는 것이죠.

[2-3. 지급결제시스템 사이버 리스크 유형(2) - 원격근무 환경 공격](p.11)
그다음에 제가 설명드릴 내용은 지급결제시스템의 사이버 리스크 유형 두 번째로 원격근무 환경에 대한 공격입니다. 최근에 코로나19 이후로 원격근무가 활성화되었습니다. 재택근무나 원격근무, 혹시 이 강의를 들으시는 분 중에 학생분들도 계시고 직장인 분들도 계신다면 재택근무를 하실 때 보시면 원격에서 자택이나 카페에서는 사실상 보안규정에는 안 하시는게 맞기 때문에 안 하실 거라는 생각은 드는데 어찌 되었든 원격에서 근무를 하시다 보면 어쩔 수 없이 내부 PC에 접속해서 내부 정보를, 내부 시스템을 이용하는 일들이 있을 것이고 학생들 같은 경우는 원격강의가 대부분이겠죠. 원격강의 정도가 원격 관련된 환경을 이용하고 있는 것인데요. 코로나19 이후로 원격근무 또는 원격환경이 많이 보급이 되다 보니까 여기에 대한 해킹 공격이 굉장히 많아지고 있습니다. 지급결제 분야에서도 지급결제 운영기관에 있는 사람들도 그 기관에 있는 조직들도 코로나19라는 팬데믹에서 벗어날 수 없거든요. 저희도 마찬가지이고요. 어쩔 수 없이 재택근무나 원격근무를 해야 하는 상황이고 특히나 금융기관이나 운영기관 일부 같은 경우에는 과거에는 IT 개발자나 운영자는 원격에서 작업하는 게 제약이 있었습니다. 원천적으로 못 하게 되어 있습니다. 아주 긴급한 상황이 아니면요. 그것이 왜 그랬냐면 전자금융감독규정이라고 금융위가 만들어놓은 일종의 법인 거죠. 규정, 금융기관이 지켜야 할 전자금융 감독규정에서 원격으로 IT 업무를 볼 수 없다고 규정했는데 코로나19로 인해서 IT 사람들도 코로나 걸리면 집에 있어야 하고 그렇다고 시스템이 놀면 안 되니까 어쩔 수 없이 금융당국에서는 전자금융 감독규정 관련된 시행수칙에 원격근무를 일부 허용하는, 일부 완화시키는 제도가 들어오면서 IT 사람들도 원격근무를, 비록 보안대책을 수립해야 하지만 하게 되었습니다. 그러다 보니까 더욱더 위험해진 것이죠. 일반 임직원들 같은 경우에는 원격근무를 한다고 해도 접근할 수 있는 정보나 시스템에 한계가 있습니다. IT 같은 경우에는 IT시스템에까지 전부 다 접속 가능하다 보니까 IT시스템을 접속하다 보면 사실 금융회사도 그렇고 대부분의 기관들이 모든 정보는 IT시스템에 다 저장되어 있고 IT시스템을 통해서 업무를 보지 않습니까? 이게 만약에 해커의 손으로, 공격자의 손으로 넘어간다면 사실 그 안에, 조직에 업무처리라든지 또는 정보라든지 그것은 그들의 것이 아닌 것으로 보시면 되겠습니다. 어찌 되었든 이러한 원격근무 환경에서 보안 문제, 보안 이슈, 보안 리스크 들에서 문제가 발생하고 있는데 대표적으로 최근에 발생하고 있는 원격근무 환경에서의 공격방식은 여기도 동일하게 악성코드가 이용되고 있습니다. 악성코드 전파 또는 원격 접속 시스템 등과 같은 원격근무 지원 시스템에 취약점을 이용한다. 이것을 이용해서 내부에 침투해서 정보를 가지고 가거나 시스템에 장애를 유발시켜서 정상적으로 업무를 못 하게 하는 그런 방식이 대표적인 원격근무 환경의 공격이라고 보시면 됩니다. 악성코드는 최근에 모든 사이버 공격에 이용되고 있어요. 형태가 여러 가지인 것이죠. 간단히 말씀드리면 악성코드에도 종류가 있어요. 여러분이 많이 알고 계신 바이러스, 그다음에 트로이잔, 웜도 들어보셨을 거예요. 그다음 봇, 스파이웨어. 이런 것이 가장 대표적으로 악성 행위를 능동적으로 하는 것은 이렇게 보통 네 가지가 있는데 바이러스는 특징만 말씀드리면 똑같이 악성적인 기능을 가지고 있지만 얘는 숙주가 없으면 전파가 안 됩니다. 반드시 숙주가 있어야 해요. 숙주가 없이도 전파가 가능한 것은 웜입니다. 웜은 숙주가 없어도 자기가 다른 시스템으로 전이도 할 수 있고 작동도 할 수 있어요. 봇은 특정한 기능만 해당됩니다. 아까 전에 제가 봤을 때 좀비나 이런 것들이 일종의 봇이라고 보면 됩니다. 봇은 로봇의 뒷글자를 딴 것인데 일정한 정해진 규칙을 기반으로 행위하는 그런 것들이 봇이라고 보시면 되겠습니다. 트로이잔은 과거에 많이 쓰던 것인데 시스템에 침투해서 정보를 빼 나가는 악성프로그램들을 트로이잔 바이러스한테, 이 트로이잔은 하나로, 과거의 초창기 바이러스에는 분류를 따로 했었는데 사실 이 트로이잔은 분류를 따로 하는 것이 아니라 각각의 악성코드의 기능으로 다 들어가 있습니다. 바이러스 기능 중에 트로이잔 기능이 있거나 봇이나 웜에 트로이잔 기능이 있거나 이런 식으로 있습니다. 지금 현재 제가 구분한 것에서 바이러스, 웜, 봇이 있는데 가장 문제가 큰 놈이 웜입니다. 웜은 아까 말씀드린 것처럼 자기 자신이 숙주가 없이도 전파를 할 수 있어요. 그리고 특정한 이벤트가 없어도 자기가 작동할 수 있습니다. 그래서 제가 한가지 단적으로 한 번 설명드리면 여러분들이 지금 가지고 있는 집에 있는 PC에 아무런 패치도 안 하고 백신도 안 까시고 컴퓨터만 켜놓고 랜선만 연결해놓으면 30분 안에 악성코드가 감염됩니다. 왜냐하면 웜이라는 것들 때문입니다. 그래서 나 아무것도 안 했는데, 악성 사이트나 이런 곳에 들어간 적이 없는데, 바이러스가 걸렸어, 시스템이 이상해졌어, 그 이유가 왜 그러냐면 최근에 웜이나 악성코드들이 생기면서 이러한 현상들이 발생하는 것이죠. 그래서 이 웜을 기반으로 하고 있고 이러한 말씀드린 바이러스라든지 웜이라든지 봇이 최근에 뭐랑 결합되었냐면 랜섬웨어랑 결합된 것입니다. 랜섬웨어는 최근에 많이 나왔죠. 랜섬웨어는 두 가지 형태가 있습니다. 가지고 있는 정보를 감염시켜서 사용을 못 하게 하는 방식이 있고 두 번째는 내가 감추고 싶은 정보를 남들한테 알리겠다고 협박하는 방식의 랜섬웨어가 있습니다. 두 가지인 것이죠. 첫 번째는 못쓰게 하는 것, 두 번째는 그 정보를 빼앗아서 그것을 남들에게 공개할 테니까 그때 사용하는 협박용 랜섬웨어. 그래서 이 랜섬웨어를 전파하기 위한 방식으로 웜이라든지 바이러스 또는 봇을 이용해서 봇은 탑재되지 않고 봇을 이용해서 외부에 있는 명령을 내리는 서버 쪽에서 랜섬웨어를 다운받아서 전파시키는 역할을 하는 것이죠. 어찌 되었든 이 두 가지가 합쳐져서 엄청난 피해가 발생하고 있습니다. 이러한 것들이 아까 말씀드린 것처럼 악성코드를 돈 주고 살 수 있다, 저렴한 비용으로 그러니까 이게 더 악성코드로 인한 공격들이 확대되고 대부분의 사이버 공격들이 최근에는 악성코드를 이용하고 있다고 보시면 됩니다. N번방 사건이나 그런 것을 통해서 많이 들어보셨을 텐데요. 다크웹에서 이러한 악성코드들이 거래되고 있습니다. 그래서 어찌 되었든 악성코드를 통해서 악성코드를 공격자가 어떤 방법으로 메일이 되었든, 또는 메신져가 되었든 USB가 되었든 악성코드를 배포하면 그 배포된 악성코드가 화상회의 프로그램이라든지 원격접속 프로그램 등을 통해서 내부 시스템, 내부 PC로 감염이 되어서 그 감염된 바이러스를 통해서 지급결제 시스템을 감염시키거나 지급결제 시스템에 대한 정보를 유출하는 방식이 악성코드 전파를 통한 공격방식이라고 보시면 되겠습니다. 이제 두 번째 원격접속 시스템에 대한 것인데 이것은 최근에, 작년이죠. 작년에 일부 우리나라 국가기밀정보가 유출된 적이 있습니다. 거기도 마찬가지로 원격으로 접속했는데 거기에 우리나라의 중요한 항공 전투기 설계도 같은 것들이 유출되어 방송에 나온 적이 있는데 그때, 해커가 이용했던 방식이 뭐였냐면 원격접속 시스템의 취약점을 이용해서 그 접속 시스템을 이용해서 자기가 들어가서 거기에 있는 중요정보를 빼내 온 것이죠. 엄청난 사건이었죠. 우리나라 국가 기밀정보잖아요. 전투기 설계정보라든지 원자력 관련된 정보라든지 이런 정보들이 유출되었으니 엄청난 일이었죠. 사실상. 이 원격접속 시스템은 보통 VPN이라고 이야기합니다. 가상사설망이라고 Virtual Private Network라고 저희가 일반적으로 암호화되고 안전한 네트워크를 연결하기 위해서는 아까 전에 말씀드렸던 ISP, 인터넷 서비스 제공자로부터 전용선 서비스를 돈 주고 구입을 해서 그것을 통해서 접속을 하는데 전용선이라는 것은 두 지점, 보내는 사람과 받는 사람의 두 지점에 그들만 쓰는 전용라인이라고 보시면 됩니다. 그러다 보니 전용으로 쓰다 보니까 뭐든지 전용은 가격이 비싸지 않습니까? 그래서 그것을 동일한 효과를 내면서 인터넷망, 저렴한 인터넷망을 통해서 접속할 수 있게 그 환경을 제공한 것이 바로 VPN이라고 보시면 됩니다. 그래서 원격접속 시스템, VPN을 통해서 원격업무를 보시는데 여기에 이것은 보안제품, 상용제품으로 보안 전문기관에서 만든 제품인데 여기에 보안 취약점이 있었던 거에요. 보안 취약점이라는 것은 무엇이냐면 정상적으로 프로그램이 작동하는데 이 프로그램에, 그런데 이 정상적인 프로그램 내에서 프로그램의 어떤 특정한 로직적인 오류를 일부러 발생시키는 것입니다. 일부러 발생시켜서 그 발생시킨 오류를 이용해서 자기가 원하는 행위를 하는, 이러한 것들이 가능하게 만든 그러한 특성들을 취약점이라고 이야기하고 취약성이라고 이야기하는데 그 보안 취약점을 해커가 발견해 내서 또는 보안 취약점을 발생시키기 위한 어떤 코드를 조작해서 그 내부망에 침투한 것이죠. 그래서 원격근무 한계에서 최근에 발생한 것이 바로 이러한 형태에 공격들이 주로 발생을 지금까지 했습니다. 그래서 최근에 많은 금융기관에서는 다행히 원격근무 환경에 대해서 관련된 장애나 사고 발생한 사례는 현재는 없습니다. 그런데 현재, 다른 기관이나 그런 곳에서는 원격근무 환경에서 많은 보안사고가 발생했고 일부, 아까 말씀드린 한국인터넷진흥원같이 보안 전문기관에서 조사한 결과에 따르면 일반 직원들도 이러한 원격근무에서 가장 걱정되는 것이 무엇이냐고 물어보면 거의 탑으로 나오는 내용이 보안 관련된 정보유출이라든지 사이버 사고라든지 이런 것들이 이슈가 되고 있습니다. 그럼 이것을 막기 위해서는 어떻게 해야되겠습니까? 포인트가 두 가지이지 않습니까? 악성코드가 감염되는 루트를 원천적으로 차단하는 수밖에 없습니다. 원격근무 PC에 대해서는. 무슨 이야기냐면 원격근무 PC에서는 굉장히 현실적으로 어려운 것이지만 인터넷 사이트를 그 PC에만큼은 업무용 이외에는 접속하지 마셔야 하고 프로그램도 설치하지 마셔야 되고 USB도 쓰지 마셔야 되고 그냥 업무에만 사용하셔야 됩니다. 업무에만 사용하셔야지만 악성코드에 그나마 좀 안전할 수 있고 거기에 당연히 바이러스 백신 설치하셔야 되고 백신의 업데이트 잘하셔야 되고 매일마다 검사하셔야 되고 이러한 기본적인 것들이 굉장히 원격근무자의 역할이 중요하다고 보시면 됩니다. 사실 원격근무하시면서 집에서 편하게 근무하시는 분들도 있겠지만 우선 이동시간이 줄어들고 이동해야 하는 불편함이 없어져서 그런 부분이 좋기는 하겠지만 이러한 부분들도 챙겨야 하는 부담들도 있습니다. 그래서 어찌 되었든 악성코드에 대해서는 그러한 부분에 대응이 필요하고 원격 접속 시스템 같은 경우에는 회사가 대할 내용인데 이러한 시스템에 대해서 원격접속시스템을 제공하는 회사들, 밴더들이 정기적으로 보안상의 문제점이 있는지 없는지 취약점을 제공해주어야 합니다. 그것을 잘 분석해서 적용해서 대응하는 것이 필요하죠. 바로 적용하면 문제가 발생할 수 있습니다. 보통 우리가 시스템에 칵테일 효과라는 것이 있습니다. 칵테일이라는 것을 보면 다양한 재료가 들어가죠? 그런데 그 들어간 재료가 맛을 봐서는 잘 몰라요. 뭐가 들어가는지. 똑같은 거죠. 시스템에서 문제가 발생하면 시스템상에서 뭐로 인해 문제가 발생하는지 굉장히 찾기 어렵다는 것이 IT의, 시스템의 특징입니다. 그래서 보통 제가 컴퓨터 문제가 발생해서 PC가 문제라 A/S 센터 가면 보드 교체를 이야기합니다. 왜 그러냐면 문제점을 찾기 어렵기 때문에 원천적으로 교체를 하는거에요. 그리고 뭐가 문제가 발생해서 컴퓨터가 안 돌아가면 '야! 껐다 켜'이게 다 왜 그러냐면 그 문제점을 찾기가 굉장히 어렵기 때문에 그런 것입니다. 이런 측면에서 바라보시면 좋을 것 같습니다. 그래서 취약점에 대해서는 잘 테스트를 해보고 정상적으로 적용해도 정상적으로 작동이 되는지 안 되는지 확인한 다음에 거기에서 테스트시스템에 적용을 해봐야겠죠. 며칠 좀 운영해보다가 그 다음에 원래 시스템에 패치를 적용하는 형태로 진행해야지만 이러한 원격근무 환경, 최근에 발생하는 공격 방식에 대응할 수 있는 방안이라고 보시면 되겠습니다.

[2-4. 지급결제시스템 사이버 리스크 유형(3) - 연계시스템 공격](p.12)
세 번째, 마지막인데요. 사이버 리스크에서는 세 번째인데 연계시스템 공격이라고 했는데 아까 제가 말씀드린 것처럼 이것은 지급결제제도에서는 청산기관이 있습니다. 중계기관이 있는 것이죠. 중계기관이 있다는 것은 이 기관을 중심으로 다양한 기관들이, 은행들이 연결되어 있다는 것이죠. 그러면 만약에 강의를 들으시는 분들의 입장에서 내가 해커다, 다 연결되어 있습니다. 하나만 뚫으면 들어갈 수 있습니다. 그러면 어디를 선택하시겠습니까? 당연히 보안이 약한 쪽을 뚫겠죠. 그래서 저희는 보안 쪽에서는 이런 이야기가 있습니다. 그 해당 전체의 시스템의 보안 수준은 가장 낮은 부분에서 하향 평준화된다. 다른 것들이 다 90점이고 한 군데가 10점이면 이 시스템의 보안 수준은 10점인 거에요. 평균이 아니라. 똑같은 것입니다. 연계시스템, 특히 최근에는 이렇게 지급결제 시스템, 인프라가 다양한 기관들이 현재 연결되고 있습니다. 과거에는 전통적인 금융기관만 있었지만, 최근에는 핀테크도 지급결제 관련된 업무에 참여하고 망에 들어온 것은 아니지만. 카드사나 기타 다른 기관들도 굉장히 참여자들이 늘어나고 있습니다. 이 참여자가 늘어나는 만큼 리스크도 늘어나는 것이죠. 그러다 보니까 연계시스템을 통한 공격들이 지금 이슈가 되고 있습니다. 그나마 아까 말씀드린 것처럼 국내시스템같은 경우에는 기본적으로 폐쇄망 형태로 되어 있습니다. 그런데 이제 IT기술을 기반으로 한 인터넷 회사들 같은 경우에는 태생 자체부터 폐쇄망이라는 것을 이해를 잘 못하시는 분들이 많아요. 왜냐하면 온라인 서비스를 기반으로 했었으니까 폐쇄망에서 우리끼리 망 열어놓고 고객은 접속을 어떻게 하란 말이냐 똑같은 것이죠. 기본적으로 오픈 망에서 사업이나 비즈니스를 하기 때문에 회사 망이라는 것에 대한 이해도가 굉장히 낮습니다. 그런 분들이 이런 폐쇄망 형태의 지급결제에 들어왔을 때는 그런 부분에 대한 컨센서스나 필요한 부분들을 챙기셔야 하는 상황이 왔는데 그것이 지금 현재 지급결제 분야에서 하나의 숙제로 가지고 있습니다. 그래서 이 부분에 대해서 많은 연구가 현재 진행되고 있고요. 그래서 방법은 참가하는 참가기관에 대한 보안 수준을 검증하는 절차가 가장 중요합니다. 저희도 오픈뱅킹이나 여러 서비스를 통해서 다양한 서비스를 소비자들이 이용할 수 있게 기관들이 연계되어 있지 않습니까? 이런 서비스를 제공하기 위해서 연계된 기관들 같은 경우에는 반드시 보안에 대한 적합성이나 그런 것을 처음에 들어올 때도 확인하고 들어와서도 계속 확인하는 절차를 국내에서는 잘하고 있습니다. 그런데 지급결제시스템이라는 것은 국제적으로도 연결이 되어 있습니다. 그래서 이것은 한 기관, 한 나라뿐만 아니라 지급결제와 연결되어 있는 전체가 잘해야 되는 부분이기 때문에 제가 말씀드렸던 연계되는 기관에 대한 보안점검이나 보안검증이라든지 이런 것을 잘 체크해야 되는 것이 이 부분에서 숙제라고 보시면 되겠습니다.

[2-5. 국내외 지급결제시스템 보안사고(1/2)](p.13)
그래서 지금까지 말씀드렸던 내용 중에서 지급결제 리스크는 세 가지로 말씀을 드렸어요. 이 세 가지 리스크를 기반해서 실제로 사고가 발생한 사례를 말씀드리겠습니다. 여기에 나온 사고는 지급결제 관련된 아까 전에 말씀드린 지급결제 시스템에 관련된, 발생한 사고를 제가 설명드리는 것인데요. 첫 번째 2016년도에 방글라데시에 있는 중앙은행에 비정상적인 이체 사고가 발생했습니다. 여기도 마찬가지로 글로벌한 지급결제환경에서는 미국이 중심이에요. 미국이 중심이 되어서 A 나라에서 B 나라로 갈 때는 미국이 중심이 되어서 각각의, 각나라마다 계좌를 만들어 놓고 이체하고 송금하고 할 수 있게 하는데 그 역할을 미국연방 준비위원회(FED)에서 하고 있는데 그 미국연방 준비위원회에 보관된 방글라데시 중앙은행 계좌, 당좌계좌에서 8,100만 달러가 탈취되었습니다. 그런데 이게 어떻게 탈취되었냐면 서로 송금하려면 네트워크 망이 있지 않습니까? 지급결제망이죠. 이 네트워킹 망이 SWIFT라는 망을 통해서 구축되어 있습니다. 이 SWIFT 망의 취약점을 이용해서 해킹이 된 것이죠. 그러다 보니까 아까 전에 저희가 리스크 중에 연계기관에 대한 리스크 말씀드렸죠. 하나의 기관에 제일 취약한 곳을 이용해서 전체의 사이버 리스크를 전파시킬 수 있는 위험. 바로 이것이 대표적인 사례라고 보시면 됩니다. 똑같이 이 사건으로 인해서 SWIFT 망 시스템의 취약점을 이용해서 다른 나라 중앙은행도 동일한 사고가 발생했습니다. 베트남 띠엔퐁 은행, 방글라데시 중앙은행, 대만 원동국제상업은행 그래서 이 지급결제는 굉장히 지급결제를 구성하고 있는 구성기관들의, 참가기관이나 운영기관이 각자의 보안 수준이나 사이버 리스크에 대응하는 준비가 굉장히 중요합니다. 왜냐하면 방금 말씀드린 것처럼 피해가 확산될 수 있기 때문에 그렇기 이런 부분에서는 저희가 잘 관리해야겠죠. 그다음이 멕시코 시중은행의 해킹 관련된 불법 자금인출 사고인데 이것은 아까 말씀드린 것처럼 시중은행이 결제를 처리하기 위해서는 중앙은행의 오늘 하루치의 거래를 중앙은행에 보낸다고 말씀드렸잖아요. 보낼 때, 접속하는 시스템이 있어요. 중앙은행이 운영하는 거액결제시스템에 접속하는 소프트웨어가 해킹되어서 멕시코에 있는 다섯개의 시중은행에 2억 달러 상당의 불법 자금 이체가 발생하는 사고가 발생했습니다. 이것이 2018년에 있었던 사고였던 거던 거죠.

[2-5. 국내외 지급결제시스템 보안사고(2/2)](p.14)
그다음 최근인데요. 디도스공격, 보셨죠? 뉴질랜드 거래소에서 디도스 공격이 발생해서 3일 동안 주식하고 채권거래가 안 되었답니다. 여기가 대표적인 경우인데 우리 국내는 폐쇄망으로 구성이 되어 있어요. 한국거래소나 예탁결제원이나 결제원이 대다수 지급결제 시스템들은 내부망, 폐쇄망으로 외부에서는 접속이 안 되게 되어 있는데 해외 일부 기관 측에는 이런 지급결제시스템이 온라인으로도 붙을 수 있는 환경이 되어 있습니다. 왜 이렇게 되어 있냐면 저희는 대부분 어떤 청산소나 중간 거점지역이나 정해진 규칙이나 규율에 맞는 프로토콜이 있어서 그 프로토콜에 합당한 기관들만 참여할 수 있는데 외국 같은 경우는 상품 자체가 우리나라와는 다른 상품들이 나오는데 그 상품들은 일정한, 정해진 기관이 아닌 다른 주체들도 참가를 해서 이용할 수 있는 그런 상권들도 있기 때문에 그렇게 구축을 하는 경우가 있습니다. 그래서 뉴질랜드가 대표적인 경우인데 뉴질랜드 거래소가 디도스 공격을 받아서 주식, 채권 거래가 전면 중단된 적이 있습니다. 뉴질랜드 같은 경우에는 과거 중앙은행도 디도스 공격을 받은 적이 있습니다. 그다음에 국내에도 2020년 8월, 2년 전이죠. 메인 홈페이지하고 상장공시조회 사이트, 이것이 지급결제시스템으로 보기에는 조금 그렇고 지급결제시스템은 아니지만, 앞에 있는 홈페이지, 정보를 제공하는 홈페이지 쪽에 디도스 공격이 발생되었습니다. 왜냐하면 안에 있는 지급결제시스템은 폐쇄망이기 때문에 접속이 안 되죠. 저기는 외부에서 인터넷상으로 접속이 가능했기에 발생했는데, 그래서 일시적으로 중단되었는데 왜 일시만 중단되었느냐, 말씀드린 것처럼 저희 국내에는 디도스에 대응할 수 있는 체계가 잘 구축되어 있습니다. 한국거래소도 금융보안원에 이런 ISP, 인터넷 서비스 제공자가 제공하는 대피소를 통해서 대응하고 있기 때문에 공격이 들어와서 빨리 탐지만 하면 바로 대응할 수 있는 형태로 구성이 되어 있어서 아주 짧은 시간에 중단이 된 적이 있죠. 이때, 해커는 시중은행이나 다른 인터넷 은행들도 국내의 대규모 디도스 공격이 동시에 발생했습니다. 이 디도스 공격은 사실상 해커들이 편리한 게 한 번에 여러 기관들, 다수의 기관을 공격할 수 있어서 공격 효과도 굉장히 높습니다. 어찌 되었든 이렇게 사고가 발생한 사례가 있습니다.

[3. 지급결제시스템의 국내외 사이버 보안 대응 현황](p.15)
지금까지 제가 말씀드렸던 것이 지급결제제도의 개요, 사이버 리스크, 사이버 리스크의 종류와 그에 따른 사고 사례까지 말씀드렸습니다. 그렇다면 지급결제시스템의 국내에서는 어떻게 사이버 보안에 대해서 대응하고 있는지에 대해서 설명드리도록 하겠습니다.

[3-1. 지급결제 관련 국내 사이버 보안 정책 현황](p.16)
지급결제시스템에 대해 국내외 사이버 보안 대응 현황의 첫 번째로 국내에 대한 내용을 말씀드리겠습니다. 지급결제 관련해 국내 사이버 보안 정책에는 두 가지로 나눠서 첫 번째는 감시기관, 지급결제 감시기관이라고 하면 한국은행이 있고요. 두 번째는 금융감독당국 이렇게 두 개로 나눠서 살펴볼 수 있는데 감시기관에서는 저희 한국은행은 한국은행법 82조에 따라서 지급결제시스템, 아까 뭐라 그랬죠? 지급결제시스템이? 지급결제인프라, 청산, 결제, 이러한 기관들, 그런 지급결제 시스템에 대한 모니터링, 안정성 및 효율성을 평가하는 감시업무를 수행하고 있습니다. 그리고 운영기관들이 사이버 리스크에 잘 대응하고 있는지 거기에 대해서 자료수집이나 이런 것을 통해서 모니터링도 하고 있죠. 코로나19가 발생했을 초기에도 저희가 운영기관 쪽에 사이버 리스크에 대해서 많은 점검을 한 적이 있습니다. 그다음에 전산장애, 보안사고 등 이러한 지급결제 관련된 시스템의 긴급 상황이 발생했을 때에는 현장점검도 실제로 실시합니다. 이런 것도 있고요. 그리고 국내 FMI가 운영하는 중요 지급결제시스템을 대상으로 국가평가 기준에 따라 정기평가도 실시하고 있습니다. 이렇게 저희 감시기관에서 하는 역할은 현재 이렇고 금융감독당국은 전자금융거래법과 아까 말씀드린 전자금융감독규정에서 지급결제라고 딱 특화된 것은 아닌데 전자금융시스템에 대한 사이버보안에 대해서 규정을 하고 거기에 대해서 검사를 실시하고 있죠. 대표적으로 지급결제 관련해서 직접적인 영향을 받고 있는 제도는 다양하게 있지만 최근에 원격근무와 관련해서 망 분리라는 게 이슈화 되어 있는데 지급결제 운영기관 및 참가기 간에 망 분리 제도를 감독당국이 잘 적용하고 있죠. 개인적으로 정보보안에서 업무하고 공부하면서 나름대로 자칭 전문가로 이야기하면서 말씀드리려면 정보보안 대책 중에서 망 분리 기술은 굉장히 뛰어난 기술이라고 봅니다. 효과가 굉장히 높아요. 망을 분리하는 것은 무엇이냐면 우리가 회사 내부에는 두 가지 망이 있습니다. 인터넷을 자유롭게 쓸 수 있는 인터넷 PC와 인터넷망이 연결된 것. 내부 업무에 쓰이는 내부 PC와 연결된 내부망, 이 두 개를 나누는 것이에요. 서로 접속이 못 되게 그러면 보통 악성코드가 인터넷으로 감염이 된다고 했죠? 감염되더라도 인터넷 환경에서만 감염이 되는 것이에요. 내부망에는 안 들어오는 것이죠. 그러면 피해가 줄어들 수 있어요. 실제로 금융기관에서 악성코드로 인한 보안사고가 굉장히 많이 줄었습니다. 망 분리 제도로 인해서 효과가 굉장히 높아요. 그렇지만 굉장히 불편하죠. 왜냐하면 인터넷을 통해서 자료를 찾아서 업무를 보시는 분들, 또는 인터넷이랑 연계해서 업무를 하시는 분들 같은 경우에는 이 망 분리 제도 때문에 굉장히 힘들어하십니다. 그래서 최근에는 이 망 분리 제도가 너무나도 강한 규제라고 해서 업계 내에서는 특히 핀테크 쪽에서는 이슈가 많죠. 망 분리를 하기 위해서는 비용도 많이 들고 하니까 제도를 좀 완화시켜달라고 금융감독당국에 요청을 코로나 이후로 계속되어 왔고 일부 망 분리 제도가 약간 완화되었습니다. 약간 완화되어서 제 기억으로는 2021년 1월 전자금융감독규정 시행세칙에서 망 분리 관련된 규제가 약간 완화된 규제가 시행된 것으로 알고 있습니다. 어쨌든 국내에서는 사이버 보안 관련된 정책들은 감시기관과 당국기관 이렇게 나누어서 진행되고 있습니다.

[3-2. 지급결제 관련 해외 사이버 보안 정책 현황] (p.17)
지급결제 관련 해외 사이버 보안에 대해서 좀 말씀드리겠습니다. 여러 가지 정책이 있습니다. 중국 같은 경우에는 굉장히 강력하게 사이버 관련 법제도 정비하고 금융회사에 대해서 사이버 리스크 관리에 대해서 법적 책임도 부여하고 있습니다. 그리고 사이버 리스크에 대한 모니터링 및 분석, 조사 이런 부분에서 강화하고 있고 일본은 도쿄올림픽 때문에라도 사이버 보안 대응 강화했고 이것은 간단히 넘어가겠습니다. 읽어드리고. 현장검사나 사이버 훈련 등을 실시하고 있습니다. 호주도 사이버 공격에 대한 대응력, 복원력 제고를 위해서 건전성 기준도 만들고 있습니다. 교육하고 이런 것들을 실시하고 있죠. 싱가포르, 태국, 인도네시아, 말레이시아 다기관도 만들고 규제도 강화하고 여러 가지 기술도 도입하고 이런 것들을 진행하고 있습니다. 그래서 이것은 한 번 읽어보시면 좋을 것 같습니다.

[3-3. 국제기구의 사이버 보안 대응 현황](p.18)
그럼 국제기구에서는 뭘 하고 있느냐, 지급결제 관련된 국제기구는 크게 두 가지로 나눠볼 수 있는데요. 가장 지급결제하면 바로 대표적인 국제기구는 BIS라고 보시면 됩니다. BIS가 국제결제은행이라는 의미인데 Bank of International Settlements. 국제결제은행이라는 BIS가 있는데 이름에서 보시다시피 국제결제은행인 거에요. 지급결제에서는 국제기구 중에서는 가장 최상위인 것이죠. BIS에서 사이버 복원력 협력 센터라고 CRCC를 설립해서 사이버 복원력 강화를 위한 중앙은행 간의 지식공유와 협업체계를 구축하고 있습니다. 이 CRCC에서 주기적으로 매년 사이버 보안 훈련하고 있어요. 여러 가지 연구 논문들과 연구 자료가 나왔지만, 실질적으로 무슨 액션을 하냐면 전문 보안 해커들, 전문 업체를 통해서 해킹하면 워게임처럼 방어하는, 중앙은행 담당자들이 팀을 짜서, 코로나19 전에는 저도 참가했지만 스위스 바젤에서 각국의 중앙은행 담당자들이 와서 팀을 짜고 방어팀과 공격팀으로 나눠서 공격하고 방어하고, 공격하고 방어하고 실질적으로 사이버 보안에 대한 방어기술을 습득하는, 체화하는 훈련들도 시행한 적이 있죠. 이렇게 BIS는 사이버 관련된 리스크나 복원력을 위한 별도의 여러 가지 노력하고 있죠. 그다음에 최근에 BIS가 2018년 9월에 금융혁신을 위한 중앙은행 간 협력 제고를 위해서 BIS Innovation Hub이라는 조직을 구성했습니다. 여기에는 여섯 가지 워킹그룹이 있습니다. Green IT, Digital Currency 여러 가지가 있는데 여섯 가지 중 하나에 Cyber Security 워킹그룹이 하나가 있어요. 그래서 현재 Cyber Security에는 제가 지금 현재 그 워킹그룹에 참여하고 있는데 여기서 지금 다양한 보안적 연구가 진행 중이고 여기서 보안 연구 진행하는 것 중에 아까 말씀드렸던 것 중에 원격근무 환경에 대한 내용들이 진행되고 있고 그것을 제가 참가해서 그 워킹그룹의 소그룹에 참여해서 같이 연구하고 있습니다. 그리고 아까전에 연계기관에 대한 취약점도 BIS에서는 다른 형태로 TBPS라고 외부서비스제공자, 외주업체에 대한, 외주업체가 워낙 늘어나다 보니까 외주서비스제공자에 대한 보안을 또 따로 연구하는 활동도 제공하고 있습니다. 또, CPMI-ISOCO는 아까 설명해 드린다는 게 바로 이것입니다. 지급결제위원회가 CPMI, ISOCO는 증권감독위원회 그래서 이 두 개의 기관이 합쳐져서 만든 하나의 임시 기관이라고 보시면 되는데 CPMI는 어디 소속이냐, 지급결제위원회라면 당연히 BIS 산하에 있는 조직인 거죠. 그래서 CPMI-LSOCO가 만들어놓은 사이버 복원력 지침이 있습니다. 이것을 회원국들에게 배포했고 이것을 저희가 정기 평가할 때, 아까 말씀드렸던 감시기관에서 운영기관의 평가를 이것을 기준으로 하고 있습니다. 그리고 2020년 12월에 CPMI-LSOCO가 사이버 복원력, 정확히 금융시장 인프라에 대한 원칙을 저희가 회원국들이 다 준수해야 하고 이것을 정기적으로 평가하는데 CPMI-LSOCO가 평가를 하기 위한 평가그룹이 있습니다. 이 평가그룹이 2020년 12월에 사이버 복원력만 특화해서 평가한 적이 있습니다. 18개 회원국을 대상으로, 이렇게 사이버 복원력에 대한 중요성이 높아지다 보니까 이 기관에서 했고 이 사이버 복원력의 평가를 하는 평가단에 제가 포함이 돼서 같이 평가단으로써 평가를 했었죠 이 18개 전 세계 중앙은행에서 제출한 자료를 분석하고 평가하고 아마 올해 말 정도에 거기에 대한 분석표 보고서가 BIS에 배포될 예정입니다. 그래서 혹시 결과가 궁금하신 분은 BIS 홈페이지에 가보시면 거기가 올해 말 정도에 제가 같이 참여해서 평가했던 18개국 사이버 복원력에 대한 현황 수준에 대한 보고서를 보실 수 있으실 겁니다.

[4. 지급결제시스템의 사이버 보안 향후 전망](p.19)
오랜 시간 왔는데 마지막으로 지급결제시스템에 대한 사이버 보안 향후 전망에 대해서 간단히, 한장입니다. 말씀드리겠습니다.

[4. 지급결제시스템의 사이버 보안 향후 전망](p.20)
크게 세 가지로 볼 수 있는데요. 위랑 연결이 되죠. 코로나19로 인해서 근무환경이 변화되고 있어서 원격 보안에 대한 기술 도입이 확대되고 있다. 그래서 이것을 위해서 다양한 보안 전문기관들이 원격 접속에 대한 보안 가이드라인을 배포하고 있습니다. 왜냐하면 다른 국제노동기구 협회, 이런 곳에서도 어떻게 예측하고 있냐면 코로나19 팬데믹이 완료되어도 원격근무나 재택근무가 없어지지는 않고 계속 이어질 가능성이 높다는 예측을 하고 있기 때문에 그런 측면에서 원격근무가 코로나랑 별개로 새로운 뉴노멀이 되겠구나 라고 생각되어 여기에 대한 가이드라인을 현재 만들고 있습니다. 더불어서 기술에는 어떤 것들이 있냐면 제로트러스트라는 보안기술이 확대 적용되고 있습니다. 제로트러스트라는 것은 무엇이냐 기존의 보안 정책은 내부망은 착한 사람, 외부망은 나쁜 사람, 외부에서 들어오는 것은 잘 검사해서 잘 들여보내고 내부망에 있는 것은 검사 안 해도 잘 쓰면 돼. 그런데 이제는 어떻게 바뀌었냐면 내부망도 정상적인 인가자인지 아닌지 확인을 잘 해야 한다는 것이 제로트러스트입니다. 제로, 트러스트 아무도 안 믿는다는 것이죠. 왜 이러냐? 아까 말씀드린 것처럼 원격근무 환경에서 이 사람은 원격근무자 접속하는 사람은 우리 회사 사람들이에요. 단지 악성코드에 감염되었을 뿐인 거에요. 그런데 들어올 때 우리가 이 사람의 신원을 확인할 수 없으니 이 사람은 정상적인 사람이지만 감염이 되어서 내부 시스템에 접속해서 내부 시스템이 동요되면 안 되겠다. 내부 사람들도 다 확인하자. 그런 측면에서 나왔던 개념이 바로 제로트로스트이고 이것을 기반으로 접근통제, 인증방식, 인가방식 다양한 하부 기술이 현재 나오고 있습니다. 지금 제가 말씀드렸던 아까 전에 BIS에서 Innovation Hub에서 활동하고 있는 원격근무에 대한 연구 활동의 기술 과제가 저 제로트러스트를 저희가 같이 진행하고 있습니다. 그다음에 두 번째 발전 방향으로 말씀드린 것은 클라우드하고 오픈 API 같은 것들이 굉장히 다변화되고 있고 확대되고 있어서 여기에 대한 보안이 강화될 필요가 있다고 해서 클라우드 쪽은 사용자 인증, 접근통제, 가상화 기술에 대한 보안 기술이 필요하고 실제로 클라우드 같은 경우에는 미국의 캐피털 원이라는 금융지주에서 클라우드 서비스가 해킹당해서 그때 금전적인 피해를 본 적이 있죠. 클라우드가 먼 나라의 이야기가 아니라 우리 기업환경에서는 가까이 와있는 상황입니다. 금융당국에서도 과거에는 클라우드 무조건 안 돼.라고 했는데 이제 클라우드 관련된 규정도, 감독규정도 완화하는 규정도 2020년 도에 규제가 개정되어서 시행하고 있습니다. 그다음에 오픈 API 같은 경우에는 오픈 API도 설명해 드려야 하는 데 너무 오래 강의를 진행하면 지루하실 수 있으니까 다음 기회에 강의를 할 수 있다면 그때 자세히 설명드리고 쉽게 오픈 API는 프로그램 개발하는 개발 소스를 공유하는 것이에요. 온라인상에서 그러다 보니까 이 소스에 문제가 발생하면 이것을 가져다 쓴 사람은 똑같이 그 문제점을 상쇄하게 되겠죠. 이런 것들을 안전하게 처리하기 위한 안전한 보안 프로그램 기술들이 확대되고 있습니다. 마지막으로 외부 서비스 제공자 등에 대한 보안 강화, 사실 지급결제를 포함한 최근에 대다수의 기업들이 IT를 외주로 많이 사용하고 있습니다. 특성상, 왜냐하면 기술 변화가 너무나도 빠르고 그리고 여기에 대해 들어가는 비용이나 인건비도 굉장히 많이 올라가 있습니다. 그러니까 이것을 내부적으로 다 하려면 너무도 비용 처리가 힘든 것이에요. IT 회사가 아닌 일반적인 금융회사, 제조회사 이곳은 IT 회사가 아닌데 IT 인력들을 무한정 늘릴 수 없고 무한정 투자할 수 없거든요. 그러다 보니까 이것을 외부에, 외주에 많이 의존하게 되는데 외주에 주게 되면 인건비를 줄이고 그 사람들은 그쪽 분야에서 특화되어 있기 때문에 기술개발이나 기술에 대한 팔로우업도 굉장히 잘 된다는 것이죠. 그렇기 때문에 좋은 기술과 그보다 저렴한 비용으로 내가 IT서비스를 이용할 수 있다면 이쪽으로 쓰겠죠. 그렇기 때문에 외주서비스를 많이 이용하는데 문제는 무엇이냐 외부서비스는 일례로 다양한 회사를 대상으로 하다 보니까 한 회사에 특화해서 어떠한 보안정책을 하기에는 어렵습니다. 공통적으로 가야겠죠. 그리고 두 번째, 외주서비스가 바뀌면 그 회사는 관련된 정보가 없어요. 거의 왜냐하면 그 회사가 IT를 했기 때문에 종속된다는 것이죠. 락인효과로 이런 것들이 보안이랑 연결된다는 것이에요. 실제로 캐피털 원 클라우드 사건이 해킹한 사람이 누구였냐면 외주보안업체의 직원이었습니다. 방화벽을 관리하는 업체. 잘 관리해야 할 필요가 있습니다. 그래서 최근에 과거부터 IT 비중이 외부로 확대되다 보니까 이러한 부분에 대한 보안 강화 노력들이 필요하고 여기에 대해 효과적인 보안관리 방안을 연구하고 있고 그것이 바로 BIS Innovation Hub의 하나 보안 시큐리티 워킹그룹의 하나의 과제로 이것을 다루고 있습니다.

[감사합니다](p.2)
그래서 지금까지 제가 지급결제 관련된 사이버 리스크, 국내 사이버 동향을 설명드렸습니다. 마지막으로 간단하게 정리를 해드리면 저희가 지급결제제도에 대해서 개념을 알아봤죠. 개념을 알아보고 지급결제제도 개념을 통해서 벌써 지급결제시스템이란 무엇이라는 것을 알게 되었습니다. 지급결제시스템까지는 알았고 그다음 사이버 리스크는 무엇이냐 사이버 리스크에 대해서 운영리스크, 복원리스크에 대해서 설명해 드렸고 그 리스크를 기반해서 지급결제시스템의 국내 어떠한 리스크가 있는지, 세 가지를 알아보았고 그 세 가지를 기반해서 이러한 사고들이 발생했습니다. 그래서 여기까지가 세 번째 저희가 알아본 것이고 그러면 이런 것들을 어떻게 우리가 발전하기 위한 대응들이 있느냐, 해서 보안 향후 전망에서 세 가지를 설명드렸습니다. 긴 시간 동안 강의 들으시느라 고생 많으셨고 제가 오프라인이면 아이컨택도 하면서 반응도 좀 보고 필요하다면 질문도 하고 했을 텐데 그게 안 된 것이 아쉬운 부분은 있습니다. 다음에 혹시 코로나가 종식되면 혹시라도 오프라인에서 만날 기회가 있다면 그때는 좀 더 지금보다 쉽고 좀 더 인터랙팅하는 상호교류할 수 있는 그런 분위기로 강의를 준비하도록 하겠습니다. 고생하셨습니다.