[기자수첩] 사이버테러 보안의식 수준 제고 시급

지난 달 20일 농협·신한은행 등 금융사와 KBS·MBC·YTN 등 일부 방송사의 전산망이 동시 다발적으로 마비되는 사태가 발생했다.

이에 따라 금융당국은 지난 달 27일부터 오는 9일까지 농협·신한은행과 농협 계열사인 농협생명보험·농협손해보험을 대상으로 △전산장애 사고원인파악 △해킹방지 및 고객정보 보호대책의 적정성 △IT내부통제 및 아웃소싱업체 관리대책의 적정성 △전산망 장애에 따른 고객피해 대응의 적정성 등에 대해 중점 점검을 펼친다.

또한 전 금융권역에 대해 금융 IT보안 실태와 금융회사 IT보호업무 모범규준 이행실태 등을 점검하고 이를 바탕으로 이른바 5%룰로 불리는 IT보안규정 등 내부통제 규정 등을 강화한 ‘IT보안종합대책’을 마련하겠다고 밝혔다. 그러나 금융당국이 제 아무리 좋은 내부통제 모범규준을 내놓는다고 하더라도 IT보안에 대한 우리의 인식 수준이 높지 않기 때문에 금융사들이 당국의 규정을 100% 지킬지 의구심이 든다.
지난 2011년 금융당국이 전자금융감독규정을 개정해 이른바 5%룰로 불리는 ‘5·5·7규정’을 권고했지만 현재 대부분의 금융사들의 IT보안 예산과 인력수준이 당국의 권고 수준에 크게 못 미치고 있기 때문이다. 특히 IT예산 중 정보보호 예산 7% 규정이 제대로 지켜지지 않고 있는 실정이다. 앞서 금융당국은 2011년 농협·현대캐피탈 등 잇달아 해킹 사고가 발생하자 전자금융감독규정을 개정해 △총 임직원의 5%를 IT 인력으로 배치하고 △IT인력의 5% 이상은 정보보호 인력으로 △IT예산의 7% 이상을 정보보호예산으로 책정하는 이른바 5%룰로 불리는 ‘5·5·7규정’을 권고한 바 있다.

지난해 금융감독원이 금융권별 IT인력 비율현황을 조사한 결과에 따르면, 손보사 18곳 중 13곳(72%)이 IT예산 중 정보보호 예산 7% 이상이 안됐고, 생보사는 24곳 중 12곳(50%)이 미달이었다. 증권과 은행은 각각 19%, 11%가 기준을 달성하지 못했다.

또한 IT인력은 증권사 48곳 가운데 11곳(23%)이 기준을 지키지 않았고, 생보사와 손보사는 각각 38%, 50%가 기준을 달성하지 못한 것으로 조사됐다. 이는 우리나라 금융사들의 보안에 대한 인식수준을 보여주는 단적인 사례다. 금융권 한 관계자는 “개인정보보호 등에 대한 중요성이 날로 커지면서 IT관련 부서에서 예산을 늘리자고 보고를 해도 경영진들이 보안에 대한 인식이 크지 않다보니 보안 관련 투자에 인색하다”며 “경영진들의 인식전환이 필요하다”고 토로했다.

심지어는 최근 정부마저도 정보보호 투자에 등한시 하는 듯한 움직임을 보여 안타까움이 더욱 커지고 있다. 정부는 농협 해킹 사건 등이 터지면서 지난해 정보보호 예산을 2011년보다 29% 정도 늘어난 2633억원 수준으로 늘리더니 올핸 약 2400억원으로 책정했다. 미국 등 선진국의 경우 10여년 전부터 IT 전체 예산의 10% 정도를 보안에 투자해 오고 있는데 우리는 시대적 흐름에 역행하는 꼴이다. 모범규준을 잘 준수하고 있는지 단속한 후 책임자를 처벌하고 나아가 더욱 강화된 감독규정을 마련하겠다는 ‘보여주기식 처방’은 대형 사건이 터진 후에 (사이버테러나 해킹 등) 반복되고 있는 행보다.

그 전에 먼저 사회 전반적으로 보안에 대한 필요성·중요성 등에 대한 인식전환이 우선시 되어야 하는 것이 아니냐는 생각이 앞선다.



이나영 기자 lny@fntimes.com