보안이 매출, 이미지 제고에 효과 있다면 자발적인 보안 강화 이끌 수 있어
예를들어 앞으로 IT 실태평가 점수가 4등급이면 종합평가에서 2등급 이상 줄 수 없게 되며, 보안 검사 및 제재 규정도 몇 만 건 이상 정보가 유출됐거나 보안사고의 피해금액이 얼마냐에 따른 징계 및 처벌 수위가 명확해지게 된다.
특히, '보안사고 발생 시 CEO에 직접 책임을 묻겠다'는 게 금융당국의 방침이라 CEO 입장에서 더 이상 보안을 나 몰라라 할 수 없고 CEO직을 지키기 위해서라도 직접 보안을 신경 쓸 수밖에 없다는 게 전문가들의 분석이다.
이처럼 금융권 보안 강화의 움직임이 본격화 되고 있는 가운데, 임종인 고대정보보호대학원장은 금융 보안 강화를 위한 방안으로 '보안수준 공시제도' 도입을 강력히 제안했다. 종합평가를 통해 금융사들의 등급을 매기는 것은 일반 국민들 입장에서 각 금융사의 보안수준을 인지하기 어렵기 때문에 국민들이 보안수준이 높은 금융사가 어딘지 한눈에 알 수 있는 보안수준 공시제도가 도입되어야 한다는 것.
보안수준 공시제도란 신용평가회사들이 각 기업의 신용 등급을 세분화해 평가하듯이 금융사별 보안 수준을 세분화 해 평가해 별도로 공시하는 것이다. 이를 근거로 평소 보안에 적극적으로 투자한 금융사의 경우, 보안사고 발생 시 책임을 경감시켜 준다면 금융사들 입장에서는 자연스레 보안 투자의 동기를 부여받게 될 것이라는 게 임 원장의 주장이다.
보안수준 공시제도 도입의 필요성에 대해 임종인 원장은 "금융사들은 여전히 보안을 비용으로만 본다. 그러나, 광고는 비용이라고 생각하지 않는다. 보안이 광고처럼 회사 매출, 이미지 제고에 효과가 있다면 자발적인 보안 강화에 나설 수 있을 것"이라고 강조했다.
김정은 기자
jekim92@itdaily.kr