형식적인 보안 투자와 보안 감독· 관리가 대형사고 또 부를 수도
그러나 최근 금융 보안 사업 현황을 살펴보다 보면, 여전히 형식적인 전시성 사업이 많다. 뿐만 아니라 그동안 지적받아온 부실했던 금감원의 보안 감독· 관리가 앞으로는 제대로 시행될지도 확실치 않다. 이에 이번에도 밑 빠진 독에 물 붓는 식의 보안 투자가 될 수 있다는 우려가 제기되고 있는 것이다.
현재 금융권 보안 강화 사업은 급조된 예산으로 진행되다보니 기술경쟁 보다 최저가 입찰로 제품이 선정되는 경우가 허다하다. 특히, 시중은행의 경우 더더욱 레퍼런스 확보를 목적으로 한 해당 업체들 간 제살깎아먹기 경쟁이 심각해 보는 이들의 눈살을 찌푸리게 할 정도다.
너무 서둘러 보안 사업을 진행하고 있어서인지 모르겠지만, 심지어 금융사들 가운데는 제대로 된 기술 검증은 생략 한 채 제품 도입만 서두르는 곳도 있다고 한다. 또한 유독 국내 보안 업체에게 무리하게 사이트 라이선스를 요구하거나 여전히 10% 미만의 낮은 유지보수 계약 체결을 요구하고 있어 보안업체들의 지속적인 기술 발전을 저해하고 있다는 지적이 높다. 반면, 외산 제품은 사이트라이선스도 없을뿐더러 유지보수요율도 20% 이상으로 높게 책정하고 있다.
이처럼 금융사들은 국내 보안 업체들이 생존하기 어려울 정도로 국산 제품에 형편없이 낮은 대우를 하면서도 제품 도입 시 회사의 규모나 수익의 안정성 등을 평가하고 있는 것도 아이러니하다. 정당한 대가를 해주었을 때 보안 업체가 탄탄대로 성장도 하고, 양질의 제품과 서비스로 고객에 보답을 할 수 있을 텐데 말이다.
금융사들도 초기에 아무리 제품을 싸게 도입했다고 결코 기뻐하거나 안심 할 수도 없을 것이다. 보안제품은 더더욱 도입한 이후에 제공되는 서비스 지원과 기술 개발이 중요하기 때문이다. 금융분야의 베테랑인 전문가는 "사업 계약을 맺은 직후 갑과 을이 뒤바뀐다. 협력업체에 이제부터 그쪽이 갑이니까 책임지고 현장에서 잘 쓸 수 있게 해달라는 부탁을 한다"고 했다.
그는 또 "협력업체 직원들에게도 자주는 아니지만 일 년에 1~2번씩은 술을 대접하며 유대감을 형성하고 있다"고 덧붙였다. 협력업체 직원들에 의한 보안 사고가 날 때마다 누군가는 "예고된 일이었다. 협력업체 직원들을 막 부리고 홀대하 고 있는 상황에서 이런 사고가 진작 안 났던 게 오히려 이상하다"고 말한다.
금융 보안 사고가 더 이상 예고된 일이어서는 안 될 것이다. 보안 사고를 막기 위해서는 먼저 직원들이 내부 규정과 감독원 규정을 무슨 일이 있어도 잘 지켜야 한다. 다음으로 협력(보안) 업체 직원과 제품, 서비스에 대한 처우를 개선해주고 정당한 대가를 지불해 줘야 한다.
어떻게 보면 가장 기본적인 일이지만, 그동안 이러한 기본이 안 되어 있어서 불행이도 많은 사고를 겪게 된 것이라고 본다. 금융 보안 강화의 답은 기본에 충실하는 것이다. 금융사들이 보안 강화 시 이 점을 부디 간과하지 않기를 기대한다.
김정은 기자
jekim92@itdaily.kr