[디지털데일리 박기록기자] 지난 3.20 사이버테러의 충격으로 국내 금융권의 허술한 보안체계가 또 다시 여론의 질타를 받고 있다.

지난 2011년 4월, 농협 전산마비 사태이후  금융 당국은 고강도의 금융보안대책을 내놓았다. 아울러 지난 한 해 동안 은행, 증권, 보험 등 주요 금융회사들을 대상으로 강도높은 IT실태조사를 벌였다.

전자금융감독규정 개정을 통해 전체 인력의 5%를 IT인력으로 확보하고, IT예산의 7%%를 보안예산으로 확보하며, 외부 IT아웃소싱의 비중을 낮추라는 강력한 정책개입이 이뤄졌다. 또한 일정 규모 이상의 금융회사들에게는 의무적으로 임원급 CISO(최고보안담담)제도의 도입을 요구했다.

금융권 내부적으로도“농협 사태로 인해 보안 수준이 10년은 앞당겨졌다”고 평가할 정도였다.  하지만 결과적으로 이러한 대책들이 무색하게 치명적인 보안사고가 계속 발생하고 있다.

◆강력한 보안정책? 과도한 규제의 문제도 고려해야 = 그러나 심각하게 바라봐야 할 문제는 현실적으로 금융 당국이 기존보다 더 강력한 보안 IT대책을 내놓을만한 것이 없다는 데 있다. 다름아니라 '보안 IT의 강화'와 곧바로 맞물려 있는 '규제의 강도' 때문이다. 

앞서 금융위원회는 지난 2011년 8월말, 전자금융감독규정 개정안을 발표하기에 앞서 금융권의 의견을 청취하는 것과 동시에 규제개혁위원회로부터 정책 자문을 받았다. 금융 당국이 일반 사기업인 금융회사에 대해 IT보안 강화 요구를 할 경우라도 규제는 가급적 최소화해야하기 때문이다.

실제로 금융위원회는 규제개혁위원회의 자문 결과를 받아들여 당초 전자금융감독규정을 '의무' 조항에서 '권고'조항으로 톤을 낮췄다. 

그러나 현장에선 이같은 '권고'조항을 '의무' 조항으로 받아들이고 있다. 금융 당국이 아무리 권고 조항이라고는 하지만 '사실상의 강제' 규정으로 작용하고 있는 것이다.

 따라서 문제는 이같은 대형 보안사고가 발생할때마다 그에 걸맞는 고강도의 보안대책을 지속적으로 내놓을 수 있느냐로 귀결된다.

이에 대해 금융권 및 관련업계 전문가들은 “정책 당국이 보안사고가 발생할때마다 대응책을 내놓을 수 있는데는 한계가 있다”는 견해를 내놓고 있다.

◆정책의 딜레마 우려, 해결책은? = 고강도의 정책이 제시될 경우, 금융업계가 이를 적극적으로 수용하기보다는 대책을 회피하는 현상이 발생하기 때문이다. 일종의 정책 딜레마 현상이다.

그중 대표적인 것이 개인정보보호법이다. 금융권에서는 개인정보보호를 위해 'DB암호화'를 적극적으로 실행에 옮겨야하지만 결과적으로 대응을 미루고 있다. DB를 암호화할 경우 전산시스템이 느려지기 때문이다. 특히 매매체결 등 속도에 민감한 증권업계에선 사실상 1년여 동안 DB암호화에 손을 놓고 있었다. 전산시스템의 성능저하의 우려에도 불구하고 DB암호화를 적극적으로 실행에 옮긴 금융회사도 있지만 소수에 불과하다.  

물론 DB암호화를 구현하는데는 다양한 방법이 있지만 금융 당국의 정책적 취지에 부합하는 방안이 무엇인지에 대해서는 논의만 무성하다. 증권업계는 이 문제에 공동 대응하겠다고 했지만 여전히 눈치만 보고 있는 상황이다.

또한 금융 CISO제도도 말만 요란했을 뿐 당초 외부 보안전문가를 영입하려는 의도에서 벗어났다는 비판을 받고 있다. 기존 금융회사내 CIO가 대부분 CISO를 겸직함으로써 정책의 취지를 무색케하는 상황이 속출했다.

이에 대해 IT업계 전문가들은 "정책 당국이 고강도의 대책을 제시하는 것이 필요하지만 한편으론 이를 수용해야하는 입장에서 볼 필요가 있다"고 조언하고 있다. 

그동안은 '금융 IT인프라의 안정성 확보' 기조가 전자금융감독규정과 같은 정책 당국의 정책적 수단에 의해 유도됐다. 이 때문에 거의 대동소이하게 금융권의 보안수준은 평균적인 수준을 유지했다.

그러나 앞으로는 인위적 정책적 대응보다는 금융회사들의 자발적인 보안 대응능력 고도화로 패러다임이 넘어갈 수 밖에 없을 것이란 전망이다. 앞으로는 금융회사들의 차별화된 경쟁력 요소중 하나로 IT인프라의 안정성이 제시될 수 있다는 것이다.   

<박기록 기자>rock@ddaily.co.kr