[디지털데일리 박기록기자] 지난 3.20 테러의 여파로 금융 당국이 금융보안 강화를 위한 종합대책을 빠르면 내달중 내놓을 것으로 예상되는 가운데 대책안 마련을 위한 사전 논의가 활발하게 진행되고 있다.

앞서 금융위원회는  은행 등 금융기관 IT담당자와 관련 분야의 교수 등 전문가들을 포함한 보안 TF(태스크포스)팀을 구성했으며 지난 30일 1차 회의를 가지는 등 묘안 찾기에 분주하다.

현재까지 제기된 금융 보안 강화 방안은 기존 '3.20 사이버테러' 당시 예상됐던 방안들과 크게 다르지 않다. 금융권 망분리 등 금융IT인프라의 보안 강화, 금융회사의  IT부문 내부통제  강화, 금융회사에 대한 IT감독 강화 등이다.

다만 제시된 대책안중에서는 두 가지 안이 주목된다. ▲금융회사의 CISO(최고정보보호책임자)를 기존 CIO(최고정보호담당 임원)와 분리하는 방안과 ▲금융회사의 IT아웃소싱 비중을 기존보다 더 낮추는 안이 유력하게 검토되고 있는 것으르 전해졌다.

2012년 5월부터 시헹에 들어간 금융권 CISO 제도는 당초 제도의 취지와는 달리 대부분의 금융회사들이 금융회사의 기존 CIO가  CISO까지 겸직함으로써 사실상 유명무실화됐다는 비판을 받아왔다.

물론 CIO와 CISO를 분리한 경우도 있었으나 극소수에 불과했다. 이에따라 향후 종합보안대책에서는 CIO와 CISO의 겸직을 분리함으로써 당초 취지대로 별도의 조직이 보안을 전담하도록 유도할 것으로 보인다.

또 금융회사 'IT아웃소싱 비율의 축소'는 아직 수치가 구체화되지 않았지만 만약 실행에 옮겨질 경우 관련 IT업계에도 충격이 미칠 것으로 예상된다.

앞서 지난 2011년 10월에 확정된 '전자금융감독규정 개정안'에서는 금융회사의 IT부문 외주용역 비율은 내부 직원의 비율을 넘지 못하도록 했다. 물론 '내부 직원'에 대한 정의를 별도로 두기는 했으나 기본적으로 외주 IT인력 비율이 50%를 넘지 않도록 함으로써 내부통제 부실화에 따른 IT보안 사고를 예방하려는 취지였다. 하지만 이 비율을 기존보다 더 낮추게 될 경우, 기존 IT아웃소싱 비율을 추가로 조정하거나 계약을 수정하는 경우가 생길 수 있다.

하지만 이처럼 다양한 보안강화 해법이 제시되고 있지만 정작 법제화되는 것은 다른 각도에서 접근해야한다는 점에서 금융 당국으로서는 부담이다.

지난 2011년 전자금융감독규정 개정에서도 앞서 그해 8월 강력한 보안규정들이 제시됐지만 이후 규제개혁위원회의 심의를 통해 권고 규정으로 톤이 낮아진 바 있다.

금융 당국으로서는 강력한 금융 보안대책이 필요하긴하지만 한편으론 민간 기업(금융회사)에 대한 과도한 규제가 되는 경우도 동시에 고려해야하는 상황이다.

물론 의무 조항이 아니더라도 금융 감독당국의 금융기관 경영실태 평가 반영 등 우회적인 압박수단이 있지만 결과적으로 금융권의 자발적인 보안 인프라 강화 노력도 동시에 요구된다고 할 수 있다. 

<박기록 기자>rock@ddaily.co.kr