증권사, 키보드보안 도입 ‘더 이상 늦출 수 없다’

올해 2/4분기부터 증권업계 보안 환경이 크게 바뀌게 된다. 금융감독원은 오는 6월부터 온라인 금융거래에 키보드보안 솔루션 적용을 의무화한다.

키보드보안 솔루션 도입이 대부분 완료된 은행에 이어 금융감독원은 증권사를 대상으로 솔루션 도입을 강력하게 추진하고 있다.

이에 따라 4월까지는 대부분의 증권사들이 키보드보안 솔루션 도입에 착수해 6월 이전에 마무리할 것으로 보인다.
5일 증권업계와 보안업계에 따르면 현재까지 키보드보안 솔루션 도입을 완료한 증권사는 삼성, 우리투자, 굿모닝신한, 대한투자, 신영, 프루덴셜투자증권 등이다. 미래에셋증권은 이번 주 솔루션 구축을 끝내고 적용에 들어갈 예정이다.



◇ 솔루션 의무적용 지난해 12월에서 올해 6월로 유예 = 금감원의 이번 조치는 이미 한번 유예된 적이 있다.

지난해 9월에 12월까지 키보드보안 솔루션 적용을 완료해야 한다는 의무안을 발표했으나 금융권의 의견을 받아들여 올해 6월까지로 적용 시기를 유예한 바 있다.

솔루션 도입을 검토 중인 증권사는 현재 솔루션 검토 단계로 1개월 정도의 구축기간을 고려했을 때 늦어도 4월까지는 솔루션 선정을 완료할 것으로 보인다. 회계연도 시작과 함께 6월부터 적용하기 위해서는 빠듯한 일정이기 때문이다.
보안솔루션업계 관계자는 “대형사 중형사를 중심으로 증권사들은 회계연도가 끝나는 3월 이후 솔루션 선정에 나설 것”이라며 “4월부터 2금융권 수요가 크게 확대될 것으로 예상하고 있다”고 말했다.

대우증권 보안담당자도 “금융감독원이 당초 솔루션 도입 시한을 유예해준 만큼 6월까지는 시스템 구축을 완료하겠다는 계획을 세웠다”며 “4월 도입을 추진하고 있다”고 말했다.

대우증권은 솔루션 기능 업그레이드, 서비스 등에 대한 개선 사항 등을 고려한 보안업계 상황을 주시하고 있다. 키보도 보안은 HTS의 경우 속도가 문제가 될 수 있어 이에 대한 테스트를 중점 실시할 예정이며 4월경 솔루션 업체를 선정할 계획이다. 이후 안정성 테스트 등을 거쳐 한 달내 적용이 가능할 것으로 보고 있다.

현대증권은 이번 달부터 솔루션 검토를 시작할 계획이다. 안정성, 호환성에 대한 테스트를 실시하고 키보드보안에 관해 100%의 보안 기능을 충족시키는 지 등도 검토할 계획이다. 늦어도 이번 달 중순에는 솔루션 도입을 위한 준비가 시작될 것으로 예상했다.
한국투자증권은 3월까지는 합병 후속 작업인 IT시스템 통합으로 인해 착수가 어려울 것으로 보고 있다. 통합이 완료되는 데로 보안솔루션에 대한 검토를 시작해 6월 안에 시스템 구축을 끝내겠다는 계획을 세워두고 있다.

동양종합금융증권도 지난해 10월 도입을 염두에 두고 진행했던 BMT(벤치마킹테스트)를 다시 한번 실시하고 솔루션 구축을 진행할 예정이다. 솔루션 적용에 한달 정도 걸릴 것으로 예상되는 만큼 의무 적용 시기인 6월까지는 아직은 여유가 있다는 입장이다.



◇ HTS적용, WTS에 비해 어려워 = 증권사에서 키보드 보안은 온라인트레이딩에 활용되고 있는 HTS와 WTS, 홈페이지 등 모든 온라인 대외채널 시스템에 적용될 예정이다.

기존 도입은 HTS에 한정해 이뤄진 경우도 있다. 그러나 이번 의무안은 전 온라인금융거래에 적용돼야 하는 것이기 때문이다.

이중 WTS는 웹 환경으로 돼 있어 큰 어려움은 없을 것으로 보고 있다. 그러나 HTS는 클라이언트·서버 환경에서 운영되고 있어 속도나 안정성 등에서 문제가 발생할 수 있는 요인이 있다. 키보드보안 솔루션 도입을 검토해오면서 도입을 미뤄왔던 증권사들은 HTS에 적용했을 때의 속도 등이 만족할 만한 수준이 아니었다고 말하고 있다.

특히 HTS는 이용자가 많고 클라이언트·서버 환경이란 특수성을 고려해 여기에 적용되는 솔루션 기능을 면밀히 검토할 예정이다. 증권사 관계자는 “지난해도 도입을 고려해 왔으나 BMT 실시에서 만족할 만한 결과를 얻지 못했다”며 “솔루션 기능이 많이 개선됐다고 하니 처음부터 다시 검토를 시작할 계획”이라고 말했다.

이에 대해 보안업계 담당자는 “이미 솔루션을 도입한 증권사가 이를 잘 활용하고 있다”며 “제품별로 차이는 있겠지만 속도는 큰 문제가 되지 않는다”고 강조하기도 했다.

웹 환경에 적용되는 키보드보안 솔루션에 대해서는 속도 외에 또 다른 문제도 제기된 바 있다. PKI(공개키 기반구조)보안, 키보드보안 등이 제공하는 보안 기능에 중간단에 대한 보안기능이 취약하다는 지적이 그것이다. 서버부터 PC까지의 엔드-투-엔드 보안이 불가능하다는 것. 지난해 말 금융감독원이 내놓은 보완사항에도 이 부분이 포함됐다.

키보드보안 솔루션 전문업체 관계자는 “지난해 키보드보안과 PKI(공개키기반구조)의 영역 사이의 보안 구멍에 대한 부분을 해결해 PC부터 서버까지의 엔드-투-엔드 보안 기능을 갖추라는 지침이 있었다”고 말했다.

이에 대해 키보드보안 솔루션 업체는 PKI업체와 공동으로 암호화해 전송하고 암호화된 값을 다시 서버까지 복호화시킬 수 있도록 기능 수정 작업을 진행했다.

킹스정보통신은 이니텍, 소프트포럼 등 PKI 업체와의 협력을 통해 엔드 투 엔드 보안 기능을 구현하고 있다. 킹스정보통신 관계자는 “현재 테스트까지 끝난 상태”라고 설명했다.

또 증권사는 코스콤이 제공하는 PKI, 기타 금융사는 이니텍, 소프트포럼 등이 제공하는 연동 작업이 필요하다.

이에 대해서도 관련 업계 작업이 진행되고 있다. 소프트그램은 지난해 12월 이니텍과 공조를 통해 신한은행 키보드보안 솔루션 업그레이드 작업을 완료했다. 이를 뱅크타운, 소프트포럼 등 PKI 관련 업체와 확대해 엔드-투-엔드 보안 개발 작업을 진행중이다.



송주영 기자 jysong@fntimes.com