올 초 발생한 은행·카드사 대규모 고객정보 유출 사고로 금융서비스를 이용하는 국민들의 불안감이 크게 높아졌다. 사고 이후 고객들이 믿고 맡긴 소중한 개인정보를 보호하지 못한 가장 큰 원인으로는 금융사들의 내부통제가 미비했다는 진단이 나왔다.

이를 반영하듯 지난 3월 금융당국은 ‘2014년 금융IT 및 정보보호 감독’ 방향을 발표하며 금융권의 내부통제를 강화하기 위한 다수의 정책을 내놨다. 또 이달 중으로는 개인정보유출 방지와 내부통제 관련 가이드라인도 발표할 계획이다.

금융사들과 IT업계도 효율적인 내부통제를 구현하고 전산사고 등을 예방하거나 빠르게 대처할 수 있는 IT기술 및 통제 방법 찾기에 골몰하고 있다.

<디지털데일리>는 금융회사들이 이 같은 다양한 내부통제 현안과 리스크 관리에 효과적으로 대응할 수 있는 방안과 IT업계의 대응 등을 4회에 걸쳐 알아본다.<편집자>

[디지털데일리 이상일기자] 지난 2011년 금융감독원은 ‘금융회사의 정보통신수단 등 전산장비 이용관련 내부통제 모범규준’을 마련해 시행에 들어갔다.

금융회사 업무의 대부분이 전산장비를 이용해 이뤄지고 있고, 그 형태의 다양성 및 활용범위가 비약적으로 확대되는 추세에 전산장비에 보관된 고객정보 유출 문제, 이메일‧메신저를 이용한 악성 루머에 따른 시장교란 사례 등이 불거졌기 때문이다.

이에 금감원은 금융회사 스스로 고객정보 유출 방지 및 보안 강화 등 전산장비 이용과 관련한 내부통제 수단을 마련하도록 유도하기 위해 모범규준(Best Practice)을 만들도록 독려했다. 하지만 결과적으로 이러한 금감원의 권고에 금융사들은 응답하지 않았다.

금융사들이 금융당국의 권고에도 불구하고 내부통제를 위한 장치 마련에 소홀했던 이유는 ‘비용’과 ‘효율성’이라는 덫에 사로잡혔기 때문이다.

고객 정보유출과 같은 피해를 막기 위해선 IT아웃소싱 및 외주개발에 있어 보안 프로토콜(Protocol)을 지키는 등의 노력을 해야 했지만 마련된 업무 기준조차 제대로 지키지 못했다. 업무 편의성을 저해하기 때문이라는 이유에서였다.

또 비용면에서도 최근 악화되고 있는 금융 대외환경 변화에 금융사들이 보수적인 투자기조로 선회하면서 적절한 보안 투자를 진행하지 못했다.

결국 이는 올 초 카드사 고객정보유출 사고 등 금융권을 뒤흔든 사고 발생이라는 결과로 이어졌다.

이에 금융감독원은 지난 4월 15일 개최한 은행장 회의에서 획기적인 경영쇄신 및 임직원의 의식개혁을 통해 내부통제 강화를 촉구했으며 해외점포에 대한 관리감독을 강화하고, 고객정보 유출사고 재발방지를 위한 후속대책 시행에 만전을 기해달라고 당부하기도 했다.

특히 금융당국은 6월 중으로 다양한 내부통제 및 개인정보 보호와 관련한 가이드라인을 배포한다는 계획이다. 하지만 업계에서는 지난 2011년 나온 내부통제 모범규준만 금융사들이 잘 따랐다면 최근 불거지고 있는 정보 유출 및 전산사고를 미연에 막을 수 있을 것이라 지적하고 있다.

업계의 한 관계자는 “보안 USB의 사용과 외주 개발자에 대한 통제 등은 이미 2011년부터 모범규준안에 담겨져 있던 내용”이라며 “IT부분에 있어 내부통제 개념은 2006년부터 마련된 것으로 결국 이를 지켜야 하는 직원과 관리감독에 나서야 했던 경영진의 마인드 부족이 최근 일어난 사고의 가장 중요한 원인”이라고 지적했다.

하지만 아직까지도 금융사들의 내부통제에 대한 기준과 정책은 모호한 상황이다. 일부 은행권을 중심으로 내부통제를 위한 태스크포스(TF)가 만들어지는 등 이제 내부통제와 관련해 금융사들이 이제야 첫발을 내딛고 있다는 것이 관련 업계의 평가다.

또 금융감독원, 각 금융협회, 금융보안연구원 등 금융당국과 협단체 들이 내부통제 및 리스크 관리를 위한 가이드라인을 만들어 배포하고 있지만 이를 그대로 지키기에는 금융사들의 내·외부 상황이 그리 녹록치 않은 상황이다.

예를 들어 최근 ‘초단타매매’로 인한 주문실수로 인해 존립 기반마저 위태로워지고 있는 모 증권사의 경우 거래속도를 빠르게 하기 위해 업계에 만연된 불법 전용선 문제를 거론하고 나서는 등 ‘수익’ 앞에서 희생되고 있는 ‘안전장치’ 부재는 단칼에 해결될 수 있는 문제가 아니라는 것이 업계의 관측이다.

물론 금융당국은 6월 나오게 될 일부 가이드라인의 경우 법적으로 강제할 수 있도록 ‘지침’ 수준으로 강화하는 것을 검토하고 있기도 하다. 단순한 권고로는 만연해 있는 내부통제 부재 및 리스크 관리 능력을 갖추게 하기 어렵다는 판단아래 적절한 규제를 통해 이를 해결하겠다는 것이다.

하지만 업계에서는 IT기술을 활용한 내부 통제 효율성 확보와 프로세스 재정립도 중요하지만 무엇보다 이를 수행하는 조직과 임직원 개개인의 의식 개선이 중요하다는 데 의견을 같이 하고 있다.

또한 가이드라인 등 내부통제를 위한 방법을 수립하는데 있어서도 우선 각 조직구성원들의 역할과 책임을 명확하게 할 필요가 있다는 지적이다.

<이상일 기자>2401@ddaily.co.kr