[디지털데일리 박기록기자] “보안시스템을 강화하는데 반드시 많은 IT비용을 들여야 된다고 생각하지 않는다. 보안을 강화할 수 있는 여러가지 방법을 찾아볼 것이다.” (시중은행 IT기획팀 관계자)

보안시스템을 강화하기 위한 금융권의 고민이 점차 구체화되고 있다. 가용할 수 있는 IT자원(예산)은 한정돼 있는데 주위의 눈치때문에 보안에만 비중을 높이기가 쉽지 않기 때문이다.

최근 농협 전산마비 사태와 현대캐피탈의 치명적인 해킹 사건이후, 금융권에서 보안에 대한 경각심이 커진 것만은 분명하다.

그러나 그렇다고 하더라도 은행권은 농협과 같이‘보안 IT투자를 대폭 늘리겠다’는 즉각적인 대응에는 대해서는 부정적인 견해를 보이고 있다.

‘보안시스템의 취약점을 점검하는데 우선 중점을 두고, 중장기적으로 대응에 나서겠다’는 게 현재까지 은행권의 대체적인 분위기다. 

앞서 농협은 최근 전산마비 사태를 수습하기위한 차원에서 오는 2015년까지  IT센터 신축및 백업/재해복구시스템 확대, 기타 기반시설 확충에 5100억원을 투입한다고 발표한 바 있다.

투자규모도 파격적이지만 농협은 보안업무를 전담하기 위한 최고정보보호책임자(CSO)를 두겠다고 해서 금융권을 놀라게 했다. 지금까지 금융권에서는 기존 CIO가 CSO 역할을 사실상 포괄하고 있다는 점에서 CSO 도입에 부정적인 정서가 매우 강했다.

현대캐피탈, 농협 사태 이후, 1개월을 맞은 시점에서 주요 은행 IT기획 담당자들에게‘보안 IT투자의 확대할 가능성이 있는가’에 대한 질문을 던져 보았다.

이에 대해 대부분의 은행들은 "별도로 보안예산을 확대할 것인지 여부를 아직 확정하지 않은 단계"라는 반응을 보였다. 

다만, 외부 컨설팅이나 자체적인 보안시스템 취약점 분석을 통해 산출된 결과를 가지고 중장기 플랜을 만들에 대응에 나서겠다는 견해가 많았다.

또한 보안시스템을 강화할 경우에는‘내부통제시스템에 대한 투자를 확대하겠다'는 견해가 비교적 우세했다.

이는 은행권이 농협 전산사고 원인중의 하나로 계정관리 미흡 등 내부통제시스템의 부실을 여전히 지목하고 있는 것과 관계가 깊은 것으로 분석된다.    

◆ 보안투자 비용 대폭 확대?, 금융권 “현실적으로 어렵다”=  은행권에선 보안시스템의 강화와 관련, IT투자비가 많이 소요되는 하드웨어적인 투자보다는 기존 보안업무의 프로세스 개선을 통한 소프트웨어적인 조치만으로도 보안사고의 예방과 대응력을 확보할 수 있을 것으로 보는 시각이 많았다. 

'보안 투자에 앞서 IT비용을 들이지 않고도 개선이 가능한 부분을 찾아보겠다'는 반응이다.

현재 은행권의 한 해 보안투자비용은 전체 IT예산의 5% 안팎에서 결정된다. 연간 IT예산이 1500억~3000억원인 시중 은행들은 규모별로 약간씩 차이가 있지만 올해 IT예산중 보안부문에 편성된 예산은 약 70억~130억원 수준으로 파악됐다.

통상적으로 IT예산의 80% 정도가 실제 집행된다고 보면, 한 해 보안부문에만 100억원 이상의 IT투자를 실행에 옮기는 것은 쉽지 않다.

예를 들어, 국민은행의 경우 올해 책정한 보안예산은 약 120억원 규모이지만 유지보수비용 등을 제외한 순수 보안예산은  90억원에 살짝 못미친다. 물론 올해처럼 보안 이슈가 크게 부각될 경우에는 당초 80%정도 집행되던 비율이 100% 또는 그 이상으로 추가 편성될 수도 있다.

하지만 그렇다고 하더라도 보안예산이 특별하게 증설되는데는 분명히 한계가 있다. 기존 다른 IT사업을 보류 또는 백지화시킬 수 밖에 없기 때문이다.

실제로 일부 시중은행들은 “기존에 예정됐던 IT인프라의 고도화 사업중 일부를 연기하기나 유보시키는 방법도 고려하고 있다”고 밝혔다.

한 시중은행 관계자는 "아직까지는 보안때문에 당초 올해 계획된 IT사업의 우선 순위를 조정할 정도는 아니지만 경우에 따라서는 IT사업의 일정을 조정할수도 있는 상황을 고려하고 있다"고 말했다.  

◆“보안시스템 강화 필요, 그러나 땜빵식 투자는 안한다” = 한 국책은행 관계자는 "아직 (컨설팅)일정이 확정되지 않았지만 먼저 보안시스템에 대한 취약점 분석을 통해 보안투자의 방향을 정한 후 대응하게 될 것”이라며 “그렇지 않을 경우, 결과적으로 땜빵식 투자밖에 되지 않고 이는 결과적으로 IT투자의 비효율을 초래할 수 있다”고 지적했다.

한편 은행권 IT기획 담당자들은 앞으로 '보안 투자'를 기존보다 적극적으로 확대시켜야한다는 점에 대해서도 대체적으로 견해가 일치했다. 

특히 스마트폰, 태블릿PC 등 신금융채널이 급속하게 확산되고 있고, 여기에 금융회사의 업무를 모바일로 처리하는 '모바일 오피스' 도입이 점차 확산되고 있어 기존의 보안 투자관점으로는 분명히 한계가 있다는 의견이 많았다. 

<박기록 기자>rock@ddaily.co.kr