[디지털데일리 박기록기자] 지난해 4월초, 농협 전산마비 사태가 발생하자 금융감독원 등 금융 당국은 곧바로 IT보안강화 태스크포스(TF)를 구성하고 금융IT보안에 대한 긴급 실태조사에 착수했다. 322개 금융회사에 대한 서면조사, 그리고 47개사에 대한 직접 현장 점검이 대대적으로 이뤄졌다.

이후 전자금융감독규정 개정안(2011년10.10 시행), 전자금융거래법 시행령(2012.5.15 시행)에서 강력한 금융IT인프라의 안정성을 확보하기 위한 방안들이 마침내 구체화됐다. 금융회사가 IT인력의 5%를 확보하는 것, 외부업체의 비중(IT아웃소싱) 자체 IT인력을 넘지 않도록하는 것, CISO를 도입하는 것 등이 그것이다.

하지만 여전히 금융권에서 이같은 IT인프라 안정성 강화대책에 소극적인 자세를 취하고 있다는 비판이 나오고 있다.  은행 등 대형사들은 현실적인 어려움을 들어 자체 IT인력 충원에 미적거리고 있다. 최근 금융권 일각에서 제도 완화의 목소리가 나오는 것은 이와 무관치 않다는 분석이다. 중소형 금융회사들도 "미리 나설 필요는 없다"며 눈치보기를 하는 것은 마찬가지다. 일정 자격요건만 갖추면 기존 CIO가 CISO까지 겸직하도록 한 것은 대표적인 용두사미로 꼽힌다.

이처럼 금융권이 '금융IT 인프라 안정성 강화' 정책 기조에 적극적으로 부응하지 못하는 데는 여려 복합적인 이유들이 존재한다.

◆법적 강제력의 한계 = 현 전자금융감독규정에서는 금융회사의 IT인력 기준, IT아웃소싱(외부 위탁관리강화) 등 강력한 IT보안 강화를 위한 내용이 담겨져 있지만 이는 어디까지나‘권고’에 불과하다.

당초 금융 당국이 의무 규정으로 지정했지만 입법예고과정을 거치면서 규제개혁 위원회로부터 ‘과도한 규제’라며 '권고'로 수정됐다. '권고'인 만큼 그것을 지키지 않았을 경우 받게될 불이익도 따지고 보면 제한적이다. 제재라고 해봐야 인터넷 등에 고지하는 정도에 그친다.

한 시중은행 관계자는 "일단은 정부 정책에 적극 부응하겠지만 아무래도 '권고'사항이기때문에 우선 순위에서 좀 밀리는 경우가 있다"고 말했다. 실제로 일부 금융회사들은 '올해에는 전체인력 대비 IT인력비율 5%를 충족시킬 수 없다'고 금융 당국에 보고했다. 금  

◆ 보다 현실적인 이유 "금융권이 어렵다" =법적 강제력 여부를 떠나 금융 감독 당국의 요구사항은 금융권에는 사실상의 강제력으로 작용하는게 보통이다.

하지만 금융권의 IT인력 운용의 문제로까지 확대되다보니 금융회사의 입장에서는 선뜻 결정을 내릴 수 없는 문제에 직면했다는 분석이다.

전문가들은 현재 금융권의 상황을 고려했을때, 당초 CISO를 외부에서 영입하려 했던 것과 관련 조직을 별도로 만드는 것, 그리고 많은 IT인력을 한꺼번에 늘리는 것, IT아웃소싱 전략을 수정하는 것 등 하나 같이 쉽지않은 결정들이라는 지적이다.

◆대형 금융회사들의 '자발적 노력 필요' = CISO제도의 경우처럼, 여타 IT인프라 강화 정책들도 그 취지가 크게 훼손될 수 있다는 우려가 나오고 있다.

금융당국도 CISO제도와 관련해서는 '최소한 4대 금융지주회사 소속 은행들은 정부 정책의 취지를 살려줘야 하지 않느냐'고 은행권에 불편한 심기를 전했다는 후문이다. 'CIO와 CISO 겸직 모델'이 은행권을 중심으로 확산되다보니 이게 사실상의 표준으로 굳어져 버렸다는 것에 대한 비판이다.

결국 금융계를 이끌고 있는 대형 금융기관들이 솔선수범해서 모범을 보이는 것이 가장 현실적인 정책적 수단이란 결론이다. 사실상 금융 당국의 힘도 여기까지다.   

<박기록 기자>rock@ddily.co.kr