H&Q, 굿모닝증권 지분 일부만 매각

금융감독원이 올해부터 실시하기 시작한 IT검사를 계기로 전산 보안에 관한 금융권의 태도가 달라지고 있지만 IT검사 자체에는 약간의 문제가 있는 것으로 나타났다.

과거 은행만 받아온 IT검사가 올해부터 증권, 보험 등 금융기관 전체로 확대되면서 특히 내부보안에 관한 인식이 제고되고 있다.

그러나, 금융기관 전산부서는 일반감사와 IT검사를 한꺼번에 받아야 하고 IT검사에 관한 금감원의 평가기준이 너무 포괄적이어서 검사 준비때문에 업무에 차질을 빚고 있다.
최근, 금융권 및 관련업계에 따르면 IT검사를 받기 위한 준비 작업과정에서 금융기관의 보안 실태와 의식이 강화되고 있다.

금감원은 지난 1월부터 대한재보험 신영증권 동양오리온투자신탁 등 3개 금융회사를 대상으로 IT검사를 시작하면서 적어도 3년내에 금융기관들의 전산 보안을 은행들 수준으로 끌어올리겠다는 목표를 가지고 평가기준을 마련한 것으로 알려졌다.

은행을 제외한 여타 금융권은 IT검사를 처음 받아보는데다 금감원측 평가기준이 너무 높아 대비책 마련에 어려움을 겪었다. 금감원의 금융기관에 대한 ‘IT부문 경영실태평가제도’는 미연방준비은행등 미국 5개 은행감독당국에서 채택하고 있는 IT부문 등급평가모델. 현실적으로 은행들보다 5년정도 뒤쳐진 보안 수준에 있는 보험등 여타 금융기관들이 이에 완벽하게 대비하기는 힘들다.

전산관련 직원들은 은행측에 자문을 구하러 다니는가 하면 전산부서 책임자들이 ‘CISA (Certified Information Systems Auditor: 국제공인정보시스템감사사)’같은 전산감사 관련 자격증 취득 공부를 시작하기도 했다. 전산시스템을 비롯 전산부서 보안 환경 전반을 재정비한 것은 물론이다.

금융권 관계자는 “IT검사를 받으며 카드 키 사후관리 등 내부보안에 관한 인식이 높아진 것은 사실”이라며 “하지만 IT검사가 경영 실태평가 내에 포함돼 있는 것이라 전산부서는 일반 감사와 IT검사를 모두 받는 이중고에 시달려 업무상 차질이 많다”고 고충을 토로했다. 일부 금융기관은 3주간 시행되는 IT검사때문에 준비기간을 포함해 1년에 두달동안 업무 마비상태에 빠지기도 한다.
현재 금감원의 금융기관 IT검사는 일부 중단된 상태다. 얼마전 있었던 금감원 조직개편 때문에 내부 분위기가 어수선해져 IT검사를 제대로 시행할 수 없게 된 것.

기왕에 금융기관의 IT 경쟁력을 높이겠다는 의도로 IT검사를 시작한 만큼, 금감원은 적절하고 구체적인 평가기준을 마련해 꾸준히 검사를 시행해야 할 것으로 보인다.



김미선 기자 una@kftimes.co.k