개정된 전자금융감독규정은 금융회사의 전체인력의 5%를 IT인력으로 확보하고 특히 IT외부인력은 내부 인력의 범위내로 한정시킴으로써 아웃소싱 비율을 사실상 50%이하로 낮추는 등의 강력한 내용을 담고 있다.

또한 IT실태 평가를 통해 통해 이를 경영실태 평가에 의무적으로 반영하도록 했으며, 이용자 정보가 업무상 목적외로 열람, 저장, 출력되지 않도록 내부 접근통제를 대폭 강화함으로써 고객 정보가 외부로 유출되는 것을 방지하도록 했다.

특히 금융감독 당국은 금융회사가 이같은 권고를 불이행할 경우 올해부터는 이를 외부에 공표하도록 했다.

이중 관심이 가는 것은 전체 인력수 대비 IT인력의 5%, 그리고 50% 이내로 외주인력 비율을 감축했는지의 여부이다. IT인력 비율 조정은 결과적으로 유지보수 아웃소싱 계약을 맺고 있는 IT업체에도 큰 후폭풍을 미칠 수 있기때문이다.

23일 금융계와 관련업계에 따르면, 금융감독 당국은 대부분의 금융회사들이 외주인력의 비율을 50%가 넘지 않도록 운영하고 있는 것으로 파악하고 있다.

금융지주회사의 경우, 그룹 IT계열사와의 기존 계약관계를 조정하는 등의 방법을 통해 IT외주인력 비율을 맞췄고, 기타 외부협력 업체와는 계약 기간을 조정하거나 상황에 따라서는 해지하는 등의 방법도 사용했다. 또한 기존 외주사업을 내부 IT인력으로 전환하거나 기존 비 IT업무 부서의 인원도 IT부서로 편입시키는 사례도 있었다.  

그러나 여전히 일부 은행 등 몇몇 금융회사들은 여전히 IT인력 비율을 맞추는 것이 현실적으로 어렵다고 판단하고 있다.  

실제로 전체 인력이 적은 은행들은 IT인력 5% 맞추기가 어렵지 않지만 전체직원이 2만여명이 넘는 국민은행과 같은 큰 대형 시중 은행은 IT인력을 5% 수준으로 확대하려면 기존 약 600명에서 1000명으로 IT인력을 크게 늘려야한다. 하지만 이는 기존 인력 대비 30~40% 이상 늘려야하는 것이어서 현실적으로 쉽지않다는 게 중론이다.

실제로 국내 시중 은행의 경우, 외형에 관계없이 IT부문의 인력은 대략 400~500명 안팎에서 결정된다. 이 때문에 ‘단순히 전체 인력을 기준으로 IT인력 비율을 산출하는 방식을 개선해야한다’는 지적이 금융권 내부에서 제기되고 있다.  

이 때문에 일부 금융회사들은 금융감독 당국에 IT인력비율 맞추는 것이 어렵다는 점을 이미 올해초부터 금융감독 당국에 보고한 바 있다. 

금융감독 당국은 금융감독규정 내용을 준수하지 못할 경우, 이를 외부에 공표하도록 했는데 이 때문에 일부 금융회사는 이를 홈페이지 등에 공표하는 방안을 놓고 고민중인 것으로 알려졌다.   

한편 올해 5월부터 시행에 들어간 전자금융거래법 시행령의 경우, 보안담당 최고임원인 CISO를 두는 것이 핵심 내용이다. 그러나 금융감독 당국의 유권해석에 따라 대부분의 금융회사들이 기존 CIO가 CISO를 겸직하는 방식으로 이 요건을 충족시켰다.

당초 시행령이 제정되면 외부 보안전문가가 대거 금융권의 CISO로 영입될 것으로 기대를 모았었다. 하지만 CIO 겸직이 일반화됨에 따라 객관적인 외부의 시각으로 금융회사의 IT인프라를 관리, 감독할 수 있다는 측면에서는 이 제도가 큰 실효를 거두지는 못했다는 평가를 받고 있다.   

<박기록 기자>rock@ddaily.co.kr