캐피탈사 포함한 146곳으로 감사 확대 등 금융기관 관리· 감독 한층 강화


▲ 최한묵 금감원 IT감사국장





금융감독원은 현대캐피탈, 농협 등 올해 들어 잇따라 발생한 불미스러운 금융보안 사고를 계기로 금융기관들에 대한 관리· 감독 기능을 앞으로 한층 더 강화한다고 밝혔다.

그 일환으로 사고 발생 직후인 지난 5월부터는 기존의 IT감독실을 IT감독국으로 격상하고 조직인원도 기존의 22명에서 33명으로 늘렸다. IT감독국의 국장으로는 IT에 능통한 최한묵 전자공시팀 부국장을 선임했다.

금감원은 "그 동안 금융기관들의 건전성 관리· 감독에 치중해온 나머지, IT인프라에 대한 부분은 크게 신경을 못써왔던 게 사실"이라며 "고객정보유출 등 IT보안사고가 고객들의 금전적인 손해를 일으킬 뿐만 아니라 국민들의 불안감을 크게 조성하는 만큼 IT감독국을 통해 철저히 금융기관을 관리· 감독함으로써 금융 보안사고를 예방하고, 만일의 사고 발생 시 신속히 분석해 동일 사고의 재발을 막는다는 게 목표"라고 전했다.

◆금융기관 평가 시 IT부문 2~3%→ 20% 반영= 금감원은 금융기관들에 대한 관리· 감독을 위해 1년에 한 번, 검사 대상을 선정해 감사를 진행해왔다. 감사 인력은 한정되어 있고 금융기관은 많다보니 금감원이 관리· 감독을 하는 380여개 금융기관들 가운데 여신과 수신 기능이 동시에 있는 대형 은행, 증권, 보험사 120곳을 위주로 감사를 진행할 수밖에 없던 상황이었다.

그렇다보니 돈을 맡기는 수신 기능이 없는 캐피탈사들은 지난해까지 IT감사 대상에 속하지 않았다. 앞으로는 캐피탈사까지 포함해 자산규모 2조원 이상의 금융사 146곳으로 IT감사를 확대 시행하게 된다. 특히, 기존처럼 예고를 해주고 감사를 진행하지 않고 필요하다면 특정 부분을 타깃한 세밀한 테마 검사이나 불시 점검까지도 불사하겠다는 게 금감원의 입장이다.

또한 금융기관의 건전성 즉, 경영실태평가 시 IT부분이 과거 2~3%밖에 차지하지 않았으나, 내년부터 20%까지 크게 비중을 차지하게 된다. 최한묵 금융감독원 IT감독국장은 "얼핏 보기에 100점 만점에 20점이면 별거 아닌 것처럼 보일지 모르지만, IT는 IT대로 평가를 해 IT평가에서 4등급을 받은 금융기관은 전체 등급을 3등급 이상 받지 못하게 된다"며 "이제는 금융산업에서 IT가 금융기관의 성장과 생존권을 잡고 있다고 해도 과언이 아닐 정도로 중요해졌기 때문에 평소 IT에 대한 투자와 관심을 기울이지 않는 금융사들은 앞으로 회사 전체의 평가를 좋게 받긴 힘들게 된다"고 강조했다.

금감원은 현재 IT 문제로 인한 사고 발생 시 처벌 기준을 구체화하고 있다. 그동안 포괄적인 경영상 문제로 금융기관을 징계했는데, IT에 대한 제재 및 처벌 기준을 곧 구체화해 금융기관 CEO의 IT에 대한 책임과 관심도를 높인다는 계획이다. 10만 건의 고객정보가 유출된 곳과 100만 건의 고객 정보가 유출된 곳을 차별화해 제재를 하므로 금융기관들이 보안강화를 위해 최선의 노력을 기울이게 되는 좋은 방안이 될 것으로 예상된다.

◆IT 관련 처벌기준 곧 구체화, '보안을 투자로 인식해야'= 금융보안 강화를 위해 올해 제도적인 손질이 대대적으로 이뤄졌다. 대표적으로 전자금융감독규정 전면 개정안(10. 10)에서는 IT인력은 전체 직원의 5%이상, 정보보호인력은 IT인력의 5%이상, 정보보호예산은 7%이상을 확보하도록 했으며 전자금융거래법 시행령 일부개정안(10. 28)에서는 총자산 규모 2조원 이상이면서 종업원수가 300명 이상인 금융사에 정보보호최고책임자(CISO)를 임원으로 지정토록 의무화 하고, 정보보호최고책임자의 자격요건까지 구체화 했다.

보안 강화를 위해서는 결국 해당 인력을 뽑아 조직을 만들고 예산을 투입해야 하므로 비용적인 부분을 무시할 수 없는 것만도 사실이다. 제도를 강화함으로써 금융기관들이 보안 투자를 할 수 있는 근거가 마련됐는데도 '무조건 못한다'고 볼멘소리를 하는 금융사들도 현재 많음을 금감원은 꼬집어 지적했다.

금감원에 따르면, IT를 통한 금융거래 서비스 비중이 은행은 80%를 넘었고 증권사도 거의 80%에 달하며, 카드사의 경우 직접 대면거래를 하므로 전가거래가 많지 않지만 POS를 통해 결제가 이뤄지므로 업무에 차지하는 IT의 비중 및 중요성이 무척 높다. 과거처럼 IT가 보조역할이 아닌 24시간 365일 금융서비스를 위한 기초 수단이 됐고, 점포와 직원을 줄이며 많은 이익을 실현했는데도 여전히 서비스를 지탱하기 위한 보안은 투자가 아닌, 비용으로 여기고 있다는 것.

최한묵 IT감독국장은 "보안을 더 이상 비용으로 보지 말고 투자로 인식해야 한다. 앞으로 고객정보유출 사고와 같이 보안에 문제가 생기면 집단소송제 도입 등으로 천문학적인 돈을 배상할 수 있고 금융사가 졸지에 폐업을 할 수 있는 리스크도 있다"며 "100억, 1000억이 들어갈 수 있는 것을 보안만 잘한다면 10억으로 막을 수 있다. 결국 지속적인 관심과 끊임없는 보안 투자만이 국민의 재산을 지키고 장기적으로 국가 신뢰도까지 제고할 수 있는 방안"이라고 강조했다.



저작권자 © 아이티데일리 무단전재 및 재배포 금지