[프라임경제] 최근 스마트폰뱅킹 사용이 늘어나면서 금융 거래방식이 복잡·다양화 하고 있지만 금융보안 및 정보보호 대책은 ‘제자리걸음’ 상태다. 지난 10월 국정감사에서 금융권 보안 실태의 취약성이 도마 위에 오르자 금융 당국은 대안책을 찾아나서겠다고 부산을 떨었다. 하지만 정보보호와 보안 시스템 구축이 투자 대비 효과로 바로 나타나지 않는 데다, 보안시스템에 대한 경영인들의 인식 부족 탓에 당장의 실효성은 요원하다는 지적이다.

국회 정무위원회 소속 한나라당 현경병 의원은 “정부는 지난 2005년 외환은행 해킹사건 이후 금융사들에게 정보보호 인력을 IT 인력 대비 3~5% 이상 배치하고 정보보호 예산을 IT 예산 대비 3~5배 이상 배정하도록 권고하고 있지만 대부분의 금융사들이 인력부족 등을 이유로 권고를 무시하고 있다”고 지난 국감 때 밝힌 바 있다.

지난해 7‧7 디도스(DDoS) 대란을 계기로 정보보안 전문가의 필요성과 역할이 중요하게 부각됐다. 하지만 많은 금융사들이 보안에 많은 인력과 예산을 투입하지 않는 것은 다름 아닌 보안사고가 ‘가뭄에 콩나듯’ 일어난다는 점과 눈에 보이는 실적으로 나타나지 않기 때문이라는 분석이다.

국내 A은행 IT담당자는 “해킹에 대한 모니터링을 항상 하고 있기 때문에 사고를 사전에 차단하고는 있지만 큰 이슈가 되는 금융사고는 가끔 일어나기 때문에 보안에 투자되어야 할 비용과 인력이 다른 곳으로 가는 것”이라고 말했다. 사고 대비 시스템이 사실상 없다는 얘기였다.

증권업계의 한 관계자는 “금융권의 경영자들은 IT에 대한 이해가 부족해 보안에 대한 투자를 ‘매몰비용’ 정도로 여긴다”며 “투자에 비해 수익이 나오는 것도 아니기 때문에 최근에는 정보보안을 포함한 IT부문을 따로 떼어내 ‘외주화’ 하려는 움직임이 있다”고 설명했다.

<사진=금융 거래방식이 복잡해지고 있지만 금융보안 및 정보보호 대책은 이를 따라가지 못하고 있다. 지난 국감에서 금융권 보안 실태의 취약성이 도마 위에 오르자 금융당국은 대책마련에 돌입했다. / 금융감독원>

◆금융당국 정보보호관리 체계 강화

금융권 보안이 취약하다는 지적이 잇따르자 금융감독원은 보안 대책 체질 개선에 착수했다. 많은 금융사들은 금융거래가 가능한 스마트폰 용 애플리케이션을 1개 이상 만든 상태며, 최근에는 트위터 마케팅까지 열을 올리고 있다. 아직까지 국내에서 스마트폰을 통해 금융사고가 접수되지 않았지만 터지지 않은 뇌관으로 인식된다는 게 IT전문가들의 공통된 견해다.

이에 따라 금융 당국은 국내 금융권 보안 점검 프로세스를 상당부분 개선하고, 실태조사 방법 등도 강화하기로 했는데, 국감에서 제기된 금융 보안 해킹 취약점 분석을 포함해 현행 보안 점검 프로세스를 대폭 강화할 것으로 보인다.

여기에는 그동안 금융보안연구원을 포함 민간 위주로 금융권 취약성 분석 실태조사가 이뤄졌지만, 앞으로는 수시로 금감원이 분석 조사를 할 수 있는 방안도 검토되고 있다. 또 연 2회 이루어지는 금융권 대상의 보안 취약성 실태 조사를 대폭 늘리는 방안도 논의 중이다.

하지만 대부분의 금융사들이 최고정보보호책임자(CSO)를 두고 있지 않다는 점은 여전히 문제점으로 보인다. 금융 당국은 이 문제와 관련해 금융사에 권고하고 있지만 제대로 이뤄지지 않고 있다. 보안 전담조직 및 정보보호 예산도 2∼3%에 머물고 있어, 금융사의 정보보호 관리체계가 취약하다는 지적이 일고 있다.