박기록 칼럼

[취재수첩]초강경 금융 IT보안 종합대책 나왔지만…

박기록 기자

[디지털데일리 박기록기자] 금융위원회와 금융감독원이 '금융회사 IT보안강화 종합대책'을 23일 오후 발표했다.


결론부터 말하면 이번 조치는 '예상을 뛰어 넘는 수준'이다.

무엇보다 이번 대책은 MB정부의 핵심적인 정책 기조중 하나인 '기업 규제의 철폐'와 정면으로 배치되기 때문이다. 금융회사들은 CISO(정보보호최고책임자)를 의무적으로 도입해야하고 매년 강도높은 경영실태 평가를 감수해야 한다.


하지만 지난 4월, 현대캐피탈 해킹사고와 농협 전산마비 사태에서 보듯 금융회사의 치명적인 보안문제가 유발하는 엄청난 '사회적 비용'을 감안한다면 기존의 천편일률적인 기업 규제 완화 기조에서 '보안'만은 예외로 둘 필요가 있다.


금융 당국은 "사고발생에 따른 일시적 대응책이 아닌 근원적인 IT보안강화 될 수 있도록 경영진의 인식전환과 IT보안조직의 실질적 역량 강화'에 중점을 두고 추진하겠다"고 강조했다. 그러면서 금융회사 CEO(최고경영자)의 책임을 부여하고, CISO지정 의무화를 분명히했다.


사실 CISO의 필요성은 오래전부터 제기돼왔었으나 그 때마다 '과도한 규제'라는 반대논리에 부딪혀 명문화되지 못했고 금융권의 반발도 적지 않았다.


CEO의 보안에 대한 무지, 또는 문제의식 결여가 보안사고의 원인이라고 판단한 금융 당국의 상황 판단은 정확했고 그에 따른 정책적 수단은 과감했다고 평가할 수 있다.


보안은 어차피 사람이 움직이지 않으면 안되는 문제다.


금융회사가 보안시스템을 잘 구축했다고해서 그것이 모양좋게 겉으로 드러나지는 않는다. 돈을 써도 쓴거 같지않아 보인다. 보안시스템 덕에 재앙을 피해가면 '본전'이고, 조그만 장애라도 생기면 '난리'가 난다. 이는 보안을 대수롭지않게 생각하는 금융회사 경영진의 안이한 의식에서 출발한다.


또한 이번 종합대책에서 금융 당국은 보안예산을 전체 IT예산으로 5%이상으로 유지할 수 있도록 '권고'가 아닌 사실상 '의무'화 시키겠다고 으름장을 놓았다. 그것을 준수하지 않으면 금융기관 경영실태평가가 반영시키겠다는 것이다.


이와함께 기존 IT부문 실태평가 대상(120여개 금융회사)에는 캐피탈과 같은 여신전문금융회사는 제외가 됐었었는데 앞으로는 이를 포함시키겠다고 했다. IT검사 인력의 대폭적인 충원이 필요하겠지만 이 또한 바람직한 정책방향이다.

그러나 중요한 것은 앞으로다.


금융보안 시스템을 강화하기 위해 예상밖의 최강수를 꺼내들었어도 결국 이것도 조직을 움직이는 사람의 문제로 귀결된다.


가장 우려되는 것이 엉뚱하게도 '낙하산'논란에 대한 우려다.


이미 이번 종합대책이 발표되기 며칠전 부터 금융 IT업계에는 CISO의 도입을 기정사실화하면서 일부 은행들이 외부인사를 영입한다더라하는 소문이 나오고 있었다.


물론 금융회사의 보안시스템 수준을 냉정하게 평가하고 CEO에게 '쓴소리'도 마다하지 않으려면 내부인사보다는 IT와 보안에 식견이 있는 외부인사를 영입하는 것이 바람직할 수 있다.


하지만 최근 일각에서 돌고있는 CISO 외부인사 영입은 그런 차원이 아니라 갑작스럽게 '새로운 감투'가 생기니 이참에 한자리 차지해보자는 식의 뉘앙스가 풍긴다.


염불에는 관심없고 잿밥에만 관심이 많은 모양새면 곤란하다. 이것은 금융 당국도 어쩌지 못한다.


한편 금융 당국에게는 금융보안 정책의 일관성과 엄격한 잣대가 요구된다. 제도를 어렵게 마련해놓고 막상 이를 적용하는 과정에서 오락 가락하면 오히려 모럴 헤저드만 생긴다. 더 큰 부작용을 낳는다. 금융회사들에게 정부 규제를 '소나기는 피해가면 그만' 이라는 인식을 주면 곤란하다.

실제로 '전체 IT예산중 보안 예산 5%의 확보'도 사실 말처럼 쉽지않은 문제다.


금융회사들이 기존 집행했던 IT예산중 앞으로는 적지않은 금액을 보안예산으로 재분류시킴으로써 경영실태평가의 칼날을 피해갈 가능성이 높다.


이런식의 제도적 맹점을 금융 당국이 알고도 넘어간다면 여전히 대한민국의 금융보안 수준은 '위험'의 딱지를 떼지 못한다.

'보안예산 5%'는 사실상 명목적으로 수치화시킨 것이긴 하지만 누구도 왜 그것이 5%인지는 아무도 모른다. 금융업무의 IT의존도가 이전보다 훨씬 커졌으니 보안에 앞으로 더 신경쓰라는 선언적 의미로 받아들이면 된다.


금융 IT업계의 한 관계자는 "은행의 비대면거래를 통한 업무 비중이 이미 80%를 넘어섰다. 그럴 정도면 보안에 30%정도는 써야하지 않는가"라고 반문했다.


이번에 발표된 금융 IT보안 종합대책은 금융 당국이 규제의 논란을 무릎쓰고 고심끝에 마련한 것이다.


이것이 빛을 보기위해서는 결국 시장 참여자들의 '선량의 의무'가 전제돼야한다. 물론 쉽지 않은 일이다.


<박기록 기자>rock@ddaily.co.kr


박기록 기자
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널