금융IT

금융권의 눈치보기… ‘금융IT 인프라강화’ 정책 흔들리나

박기록 기자

[디지털데일리 박기록기자] 지난해 4월초, 농협 전산마비 사태가 발생하자 금융감독원 등 금융 당국은 곧바로 IT보안강화 태스크포스(TF)를 구성하고 금융IT보안에 대한 긴급 실태조사에 착수했다. 322개 금융회사에 대한 서면조사, 그리고 47개사에 대한 직접 현장 점검이 대대적으로 이뤄졌다.


그리고 2개월여 후, 금융당국은 'IT보안강화 종합 대책'을 발표했다. 여기에 IT보안투자의 확대, IT예산 일정수준 유지, CISO(정보보호최고책임자)지정 의무화등 주요 내용들이 담겼다.


이후 전자금융감독규정 개정안(2011년10.10 시행), 전자금융거래법 시행령(2012.5.15 시행)에서 강력한 금융IT인프라의 안정성을 확보하기 위한 방안들이 마침내 구체화됐다. 금융회사가 IT인력의 5%를 확보하는 것, 외부업체의 비중(IT아웃소싱) 자체 IT인력을 넘지 않도록하는 것, CISO를 도입하는 것 등이 그것이다.

 

하지만 여전히 금융권에서 이같은 IT인프라 안정성 강화대책에 소극적인 자세를 취하고 있다는 비판이 나오고 있다.  은행 등 대형사들은 현실적인 어려움을 들어 자체 IT인력 충원에 미적거리고 있다. 최근 금융권 일각에서 제도 완화의 목소리가 나오는 것은 이와 무관치 않다는 분석이다. 중소형 금융회사들도 "미리 나설 필요는 없다"며 눈치보기를 하는 것은 마찬가지다. 일정 자격요건만 갖추면 기존 CIO가 CISO까지 겸직하도록 한 것은 대표적인 용두사미로 꼽힌다.


한편으론 보안시스템에 대한 금융권의 신규 투자가 지난해보다는 크게 늘었으나 내용을 들여다보면 생색내기에 그치고 있다는 비판도 적지않다. 금융IT 전문가들은 "질적인 측면에서 IT인프라의 안정성을 확보할만한 공감대가 이뤄지지 않고 있다"고 비판한다.

 

이처럼 금융권이 '금융IT 인프라 안정성 강화' 정책 기조에 적극적으로 부응하지 못하는 데는 여려 복합적인 이유들이 존재한다.

 

◆법적 강제력의 한계 = 현 전자금융감독규정에서는 금융회사의 IT인력 기준, IT아웃소싱(외부 위탁관리강화) 등 강력한 IT보안 강화를 위한 내용이 담겨져 있지만 이는 어디까지나‘권고’에 불과하다.

 

당초 금융 당국이 의무 규정으로 지정했지만 입법예고과정을 거치면서 규제개혁 위원회로부터 ‘과도한 규제’라며 '권고'로 수정됐다. '권고'인 만큼 그것을 지키지 않았을 경우 받게될 불이익도 따지고 보면 제한적이다. 제재라고 해봐야 인터넷 등에 고지하는 정도에 그친다.


물론‘권고’사항이지만 사실상의 강제력이 있기때문에 금융회사들이 느끼는 부담이 적지않을 것이라는 반론도 많다. 하지만 그것은 어디까지나 그것을 받아들이는 당사자들의 몫이다.


한 시중은행 관계자는 "일단은 정부 정책에 적극 부응하겠지만 아무래도 '권고'사항이기때문에 우선 순위에서 좀 밀리는 경우가 있다"고 말했다. 실제로 일부 금융회사들은 '올해에는 전체인력 대비 IT인력비율 5%를 충족시킬 수 없다'고 금융 당국에 보고했다. 금  

 

◆ 보다 현실적인 이유 "금융권이 어렵다" =법적 강제력 여부를 떠나 금융 감독 당국의 요구사항은 금융권에는 사실상의 강제력으로 작용하는게 보통이다.

 

하지만 금융권의 IT인력 운용의 문제로까지 확대되다보니 금융회사의 입장에서는 선뜻 결정을 내릴 수 없는 문제에 직면했다는 분석이다.

 

전문가들은 현재 금융권의 상황을 고려했을때, 당초 CISO를 외부에서 영입하려 했던 것과 관련 조직을 별도로 만드는 것, 그리고 많은 IT인력을 한꺼번에 늘리는 것, IT아웃소싱 전략을 수정하는 것 등 하나 같이 쉽지않은 결정들이라는 지적이다.


물론 이러한 금융회사의 소극적인 기조의 근원에는 최근의 금융시장 환경에 크게 위축된 데서 출발한다. 최근 유로존의 위기 재발에서 보듯 글로벌 금융위기가 잦아들지 않고, 국내에선 가계부채 비율의 증대 등으로 금융 부실화에 대한 경고등이 켜진 상태여서 금융권을 위축시키고 있다.


이런 상황에서 은행 등 대형 금융회사들이 'IT인프라 강화'만을 목적으로 IT인력및 조직을 확장할 수 없다는 분석이다.


실제로 올해 은행권의 IT투자 예산규모는 2조4000억원선으로 지난해 수준과 같거나 약 10%정도 줄어든 것으로 분석되고 있다. 이미 지난해 하반기부터 금융권의 시장 상황을 좋지않게 보고 있었다는 반증이다.

 

◆대형 금융회사들의 '자발적 노력 필요' = CISO제도의 경우처럼, 여타 IT인프라 강화 정책들도 그 취지가 크게 훼손될 수 있다는 우려가 나오고 있다.

 

금융당국도 CISO제도와 관련해서는 '최소한 4대 금융지주회사 소속 은행들은 정부 정책의 취지를 살려줘야 하지 않느냐'고 은행권에 불편한 심기를 전했다는 후문이다. 'CIO와 CISO 겸직 모델'이 은행권을 중심으로 확산되다보니 이게 사실상의 표준으로 굳어져 버렸다는 것에 대한 비판이다.

 

결국 금융계를 이끌고 있는 대형 금융기관들이 솔선수범해서 모범을 보이는 것이 가장 현실적인 정책적 수단이란 결론이다. 사실상 금융 당국의 힘도 여기까지다.   


<박기록 기자>rock@ddily.co.kr
  

박기록 기자
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널