금융 당국은 "사고발생에 따른 일시적 대응책이 아닌 근원적인 IT보안강화 될 수 있도록 경영진의 인식전환과 IT보안조직의 실질적 역량 강화'에 중점을 두고 추진하겠다"고 강조했다. 그러면서 금융회사 CEO(최고경영자)의 책임을 부여하고, CISO지정 의무화를 분명히했다.

사실 CISO의 필요성은 오래전부터 제기돼왔었으나 그 때마다 '과도한 규제'라는 반대논리에 부딪혀 명문화되지 못했고 금융권의 반발도 적지 않았다.

CEO의 보안에 대한 무지, 또는 문제의식 결여가 보안사고의 원인이라고 판단한 금융 당국의 상황 판단은 정확했고 그에 따른 정책적 수단은 과감했다고 평가할 수 있다.

보안은 어차피 사람이 움직이지 않으면 안되는 문제다.

금융회사가 보안시스템을 잘 구축했다고해서 그것이 모양좋게 겉으로 드러나지는 않는다. 돈을 써도 쓴거 같지않아 보인다. 보안시스템 덕에 재앙을 피해가면 '본전'이고, 조그만 장애라도 생기면 '난리'가 난다. 이는 보안을 대수롭지않게 생각하는 금융회사 경영진의 안이한 의식에서 출발한다.

또한 이번 종합대책에서 금융 당국은 보안예산을 전체 IT예산으로 5%이상으로 유지할 수 있도록 '권고'가 아닌 사실상 '의무'화 시키겠다고 으름장을 놓았다. 그것을 준수하지 않으면 금융기관 경영실태평가가 반영시키겠다는 것이다.

이와함께 기존 IT부문 실태평가 대상(120여개 금융회사)에는 캐피탈과 같은 여신전문금융회사는 제외가 됐었었는데 앞으로는 이를 포함시키겠다고 했다. IT검사 인력의 대폭적인 충원이 필요하겠지만 이 또한 바람직한 정책방향이다.

그러나 중요한 것은 앞으로다.

금융보안 시스템을 강화하기 위해 예상밖의 최강수를 꺼내들었어도 결국 이것도 조직을 움직이는 사람의 문제로 귀결된다.

가장 우려되는 것이 엉뚱하게도 '낙하산'논란에 대한 우려다.

이미 이번 종합대책이 발표되기 며칠전 부터 금융 IT업계에는 CISO의 도입을 기정사실화하면서 일부 은행들이 외부인사를 영입한다더라하는 소문이 나오고 있었다.

물론 금융회사의 보안시스템 수준을 냉정하게 평가하고 CEO에게 '쓴소리'도 마다하지 않으려면 내부인사보다는 IT와 보안에 식견이 있는 외부인사를 영입하는 것이 바람직할 수 있다.

하지만 최근 일각에서 돌고있는 CISO 외부인사 영입은 그런 차원이 아니라 갑작스럽게 '새로운 감투'가 생기니 이참에 한자리 차지해보자는 식의 뉘앙스가 풍긴다.

염불에는 관심없고 잿밥에만 관심이 많은 모양새면 곤란하다. 이것은 금융 당국도 어쩌지 못한다.

한편 금융 당국에게는 금융보안 정책의 일관성과 엄격한 잣대가 요구된다. 제도를 어렵게 마련해놓고 막상 이를 적용하는 과정에서 오락 가락하면 오히려 모럴 헤저드만 생긴다. 더 큰 부작용을 낳는다. 금융회사들에게 정부 규제를 '소나기는 피해가면 그만' 이라는 인식을 주면 곤란하다.