머니S

연이은 대형 보안사고로 '멘붕'에 빠진 금융권이 보안전문가 영입에 혈안이 됐다. 금융당국이 최근 발표한 '개인정보 유출 재발방지 종합대책' 등을 통해 CIO(최고정보책임자)가 CISO(정보보호최고책임자)를 겸임하지 못하도록 했기 때문이다. IT업무와 보안업무간 충돌을 해소하기 위해서다. 금융사들로서는 CIO·CISO를 하루빨리 모셔와야 하는 상황. 특히 이들이 인재를 찾기 위해 보안시장으로 눈을 돌리면서 고급 보안인력의 몸값이 천정부지로 치솟고 있다. 반면 보안업체들은 인재유출 우려로 고민이 많다. 연간 1000만원을 투자해 키워놓은 인재를 금융권이 고액 연봉을 무기로 뺏어가고 있는 것이기 때문이다. 그런가 하면 한편에서는 보안 핵심 능력을 갖춘 인재가 스펙이 부족하다는 이유로 국내에서 외면받고, 본인의 능력을 인정해주는 외국으로 떠나는 씁쓸한 장면도 목격된다. 사고가 터져야 뒤늦게 인재 찾기에 혈안이 되는 이 사회의 문제는 과연 무엇이고, 대안은 없는지 짚어봤다.

"고객님 많이 당황하셨어요? 5000만원만 먼저 입금하시면 전부 해결됩니다." 국내 한 인기 개그프로그램 속 대사다. 보이스피싱을 다루고 있는 이 프로그램에서는 범죄자가 고객들의 정보를 속속들이 알고 있다. 피해자의 이름과 전화번호뿐 아니라 주소와 직장 등 상세내역까지 줄줄이 꿰고 있다.

최근 5년간 금융권에서는 대형 보안사고가 끊임없이 발생했다. 해커에 의한 사이버공격으로 전산망이 마비되는가 하면 고객정보가 유출됐고, 심지어 최근에는 내부직원이 고객정보를 빼돌리는 인재(人災)까지 잇달아 발생했다.

이 같은 사고는 '5·5·7룰'을 형식적으로 지키는 데 급급했던 금융사들의 당연한 결과라는 게 보안전문가들의 해석이다. 최근 잇단 금융 보안사고로 관련법 개정 움직임이 일자 금융사들은 이제서야 IT보안전문가를 찾아나서는 모양새다.

4년 전인 지난 2011년에도 올해와 마찬가지로 금융권은 초긴장상태였다. 해커의 사이버공격으로 2011년 4월 농협 전산망이 해외 13개국에서 27대의 서버에 의해 해킹을 당했고, 농협 PC 270여대가 악성코드로 인해 파괴됐기 때문이다.

이에 3일 동안 농협의 금융서비스가 전면 또는 일부 중단됐으며 대출금상환, 상품거래대금수수, 기업어음(CP)결제 중단 등 고객의 피해가 이어졌다. 이후에도 농협은 같은 해 5월과 12월, 지난해 1월에 크고 작은 전산장애를 일으켜 고객의 불편을 초래했다.

같은 시기 현대캐피탈에서도 전산망 해킹으로 고객 43만명의 이름, 주민등록번호, 이메일 주소 등 개인정보가 유출됐다. 특히 유출된 고객정보 가운데 프라임론패스 고객 1만3000명은 신용등급과 비밀번호 등의 신용정보까지 노출됐다.

금융권에서 대형 보안사고가 잇달아 터지자 금융당국은 일명 '5·5·7룰'을 제정해 이듬해인 2012년 1월부터 시행했다. '5·5·7룰'은 전자금융을 영위하는 금융사가 전체 인력의 5%를 정보기술인력으로 채워야 하고, 이 중 5%를 정보기술보안 전담인력으로 채용해야 하며, IT예산 중 7%를 정보보호 예산으로 편성하도록 한 제도다.

이 같은 규정이 시행됐음에도 불구하고 금융사의 보안 관련 사고는 줄어들기는커녕 더욱 빠른 속도로 늘어났다. 금융기관들이 보안강화라는 본질에 충실하기보다는 금융당국의 형식적 규제만 통과하면 법률적 책임을 면한다는 생각에서 벗어나지 못했기 때문이다.

실제로 지난해 국내 주요 금융사들은 금융당국의 권고기준에 맞춰 IT인력과 IT보안인력을 전체인력 중 5% 수준에서만 유지해왔다. 김재경 새누리당 의원(정무위원회)이 금융감독원으로부터 제출 받은 자료에 따르면 지난해 은행권의 전체인력 대비 IT보안인력은 평균 6.1%다. KB국민은행(5.0%), 신한은행(5.0%), 하나은행(5.2%), SC은행(5.6%) 등 주요 은행들의 IT보안인력은 턱걸이 수준이다.

평균 IT보안인력 비율이 6.7%인 보험업계 역시 동부화재(5.6%), 삼성화재(5.3%), 한화손해보험(5.5%), 한화생명(5.0%)이 5%대를 기록했다. 심지어 국내 최대 보험사인 삼성생명의 IT보안인력비율은 4.7%에 불과했다.

또한 전문가들은 금융당국이 당초 입법예고안보다 규제강도가 약한 전자금융감독규정을 시행한 것도 금융사고의 원인으로 지목했다. 당초 금융보안규정은 IT 인력·예산이 강제사항이었지만 현행 규정에는 권고사항으로 변경됐다. 아울러 감독규정 미이행 시 규제수위도 완화됐다. 그 결과 금융권은 또다시 대형 보안사고에 휩쓸리게 됐다.

지난해 12월 씨티은행과 스탠다드차타드은행(SC은행)에서 고객정보 19만여건이 유출된 이후 이번달 캐피탈사의 고객정보 유출까지 금융권 보안사고가 고구마 줄기처럼 줄줄이 엮여나오기 시작했다.

문제는 최근 발생한 금융 보안사고들이 회사와 직·간접적으로 연관된 내부직원 소행이라는 점이다. 한 보안업계 전문가는 "금융사에서 USB(이동식 저장장치)를 통해 고객정보를 빼돌릴 수 있었다는 건 지금까지 금융사들의 보안불감증이 얼마나 심각한 상태였는지를 보여주는 단적인 예"라고 우려했다.

지난 1월 발생한 KB국민·롯데·농협카드 등 카드 3사에서 발생한 개인정보 유출사고는 외주용역직원이 암호화되지 않은 1만400여건에 달하는 고객정보를 외부로 유출한 것이다. 또한 이달에는 씨티캐피탈과 IBK캐피탈에서도 대출모집인이 임의로 보관하고 있던 데이터베이스화한 고객정보를 유출한 것으로 밝혀졌다.

이처럼 부실한 금융권 보안상황 때문에 관련법을 강화해야 한다는 목소리가 힘을 얻고 있다. 이에 따라 국회 정무위원회 소속 김정훈 의원(새누리당)은 정보보호최고책임자(CISO)와 최고정보책임자(CIO)의 겸직 제한, 금융사의 보안관제를 담당하는 금융사이버안전센터의 지정 근거마련, 금융회사 등의 정보유출에 대한 형벌 등 제재를 강화하는 내용을 담은 전자금융거래법 일부개정법률안을 지난 2월 발의했다.

특히 금융사들의 CIO와 CISO 겸직은 2012년 개정안 시행 이후 실효성에 대해 꾸준히 지적을 받아온 사안이다. CIO는 회사가 보유한 '정보를 활용'해 사업전략을 구상하는 역할을 한다. 반면 CISO는 회사가 보유한 '정보의 보안'을 책임지고 관리하는 역할을 통해 CIO를 견제하는 입장이다. 하지만 약 80%의 금융회사들이 CIO와 CISO를 겸직하도록 해 투명한 정보보안활동이 어렵다는 지적이 제기됐다.

금융사들은 개정안 통과가 유력해지자 앞다퉈 CIO 및 CISO 모시기에 나서고 있다. 따라서 이들의 몸값은 천정부지로 치솟고 있다. 개정안 시행 이후 금융권 IT 정보보안이 얼마나 강화될 수 있을지 주목된다.

☞ 본 기사는 < 머니위크 > (

www.moneyweek.co.kr

) 제328호에 실린 기사입니다.

☞ 남희석, MBN 홍가혜 향한 '따가운 충고' ☞ SBS 세월호 기자, 같은바다 다른상황 틀린생각 ☞ 송옥숙 남편 이종인 대표, 세월호 구조 ☞ '기황후' 정상방송, 방송3사 주요 프로그램 결방 '언제까지?' ☞ 정동남·박인영·김정구, '같이 구조 활동 참여해서 도울게요'

실시간 재테크 경제뉴스

│ 창업정보의 모든 것

박효주 기자 hj0308@mt.co.kr

< 저작권자 ⓒ '성공을 꿈꾸는 사람들의 경제 뉴스' 머니위크, 무단전재 및 재배포 금지 >