금융권 설치형 보안 소프트웨어 의무 폐지 및 향후 과제

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

 

국가안보실을 필두로 한 정부의 강한 의지에 따라 금융권의 설치형 보안 소프트웨어 강제 폐지가 본격화되고 있다.

이는 한국 특유의 보안 환경을 글로벌 스탠더드에 맞춰 근본적으로 개선하려는 조치이나, 현장에서는 대안 부재와 책임 소재 문제를 두고 말이 많다.

1. 주요 정책 배경 및 추진 내용

KAIST 등 학계의 국내 의무 보안 소프트웨어 취약점 지적과 작년 발표된 '범부처 정보보호 종합대책'에 기반한다.

보안의 책임을 소비자 PC에서 금융사 서버로 완전히 전환하여 서버 중심의 지능형 보안 체계를 구축하는 것을 목표로 하고 있다.

 

1) 키보드 보안, 방화벽, 백신 등 PC 설치형 보안 프로그램을 단계적으로 제한한다.

2) 다중 인증(MFA, 비밀번호·OTP·생체인식 결합) 및 AI 기반 이상금융거래탐지시스템(FDS)을 전면 도입한다.

2. 글로벌 스탠더드와 한국의 현황

혜외의 경우 미국의 JP모건 체이스, 영국의 몬조 등은 별도 플러그인 설치 없이 서버단에서 기기 정보와 거래 패턴을 분석하는 제로트러스트 아키텍처를 운용한다. (사고 발생 시 금융사가 100% 책임을 지는 구조)

우리나라 정부는 2026년 4월까지 대체 계획안 제출, 연말까지 전면 전환을 지침으로 통보했다.

3. 금융권의 주요 쟁점 및 우려 사항

1) 모바일 환경과 달리 인터넷뱅킹 및 증권사 HTS 등 PC 거래 비중이 높은 분야에서는 설치형 프로그램을 대체할 뚜렷한 수단이 없다는 입장이다.

2) 금융권은 당초 모바일 기준으로 대체 가능성을 보고했으나, PC 환경까지 연내 전환하라는 정부의 강경한 드라이브에 당혹감을 표하고 있다.

3) 기존 보안 프로그램은 금융사가 의무 조치를 이행했다는 법적 방어막 역할을 해왔는데, 프로그램 폐지 후 사고 발생 시 금융사가 수십에서 수백억 원의 배상 책임을 떠안아야 하는 상황에 대해 제도적 완충장치가 부족하다는 지적이 제기된다.

4. 향후 전망

정부는 이번 조치를 국가 사이버 안보 확립이라는 거시적 목표 아래 추진하고 있다.

따라서 정책 시행 의지는 강경하게 유지될 것으로 보이나, 현실적인 기술적 대안 마련과 법적 가이드라인 확립을 둘러싼 정부와 금융권 사이의 갈등은 지속될 것으로 예상된다.

https://www.boannews.com/media/view.asp?idx=142897&direct=mobile

[단독] “설치형 보안 SW 다 빼!”... 정부 지시에 여의도 금융권 ‘패닉’