경영실태평가에 IT부문 20% 반영, 제재 강화 및 처벌 기준도 구체화
먼저 전 금융사를 대상으로 전자금융감독규정 전면 개정안이 지난 10월 10일부터 전격 시행됐다. 정보기술 및 보안 분야의 관련 인프라 확보, 이용자정보 등 전산자료 보호 강화, 비상대책 등의 수립 및 운용, IT실태평가 내실화, 위탁(외부주문)에 대한 책임 강화 등을 주요 골자로 하고 있다.
특히, IT인력은 전체 직원의 5% 이상을, 정보보호인력은 IT인력의 5% 이상을, 정보보호 예산은 전체 IT예산의 7% 이상을 확보하도록 했고, 외부 위탁 인력은 전체 IT인력의 50% 이상을 넘지 못하게 했다. 금융사들은 12월 말까지 이행계획서를 금융위에 제출하고, 내년까지 이를 이행하지 못할 경우 그 사유 및 이용자 보호에 미치는 영향 등을 홈페이지에 대외적으로 공시하게 된다.
이와 관련 금융사 관계자는 "과거 보안부서는 얼마 안 되는 보안 투자를 필요에 의해 하는데도 '왜 돈만 쓰냐?', '이것을 왜 하냐?', '이것을 하면 다 커버 되느냐?' 등의 따가운 눈총을 받아왔던 게 사실"이라며, "과거 은행이 보안 공격을 당하리라고는 상상도 못했으나 앞서 일어난 사고들을 계기로 경영층, 영업점 직원들 모두가 보안이 중요하다는 것을 인식하게 됐고, 제도 강화로 이젠 보안 투자의 당위성이 생겼기 때문에 내년부터는 금융권 보안 투자가 기존보다 크게 늘 것으로 전망한다"고 밝혔다.
평균 보안 예산 3%에서 7%로 상향
은행들의 평균 보안 예산은 기존 3%에서 7% 수준으로 크게 상향될 것으로 전망된다. 올해 대형 보안 사고들이 현실화된 만큼 내년에는 금융권 전반에 걸쳐 보안 예산이 크게 늘 것이라는 의견이 지배적이다. 그러나 정보보호 예산 기준 분류표와 매년 IT예산의 7% 이상 보안 투자를 하는 것이 '과연 실제 보안 강화에 얼마나 효과가 있을지?'에 대해 금융업계 관계자들은 반신반의하고 있다.
기존에는 특별한 정보보호 예산 기준이 없었기 때문에 은행마다 보안투자를 보고하는 기준도 달랐고 보고하는 사람마다 고무줄식으로 예산이 늘었다, 줄었다 했던 것으로 알려진다.
이번에 개정된 전자금융감독규정에는 정보보호 예산 기준을 세분화해 포함시켰다. 인건비, 데이터백업, 재해복구(DR) 시스템, CCTV, 통신회선비 등까지 포함되어 실제 정보보호 투자가 얼마나 올라갈 것인지는 알기 어렵다는 지적도 나오고 있다. 어떤 은행의 경우 한해 DR에 소요되는 비용만 100억인 곳도 있다며, 앞으로 예산과 마찬가지로 인력도 2배 이상 늘게 되므로 이러한 점들을 다 감안했을 때 신규 보안 투자 예산은 그리 높지 않을 것이라는 것.
또한 획일적으로 무조건 전체 IT예산의 7% 이상 보안투자를 하라는 것은 오히려 그 과정에서 보안에 문제가 생길 수 있고 현실성이 없다는 목소리도 곳곳에서 터져 나오고 있다. 불필요하게 기존에 멀쩡하던 보안시스템을 갈아엎어야 하거나 정보보호예산을 맞추기 위해서 IT예산을 줄여야 하므로 필요한 업무시스템 개발을 안 할 수도 있다는 것.
은행의 한 관계자는 "전체 IT예산의 7%이면 100억 이상을 보안에 투자하라는 것인데, 이 정도 규모로 매년 투자를 한다면 물론 새로운 도전 과제가 나올수도 있긴 하지만, 2~3년 지나 기존 것을 갈아엎으란 말과 똑같다"며 "방화벽 등 다수의 보안제품은 장비성의 것들이 많고 유지보수료가 낮다. 관리자들이 쓰는 보안 툴만 하더라도 변경요구가 많지 않으며 오히려 자주 바꾸면 보안상 안 되므로 7%는 압박일 수 있다"고 지적했다.
평균 보안 인력 2~3%에서 5%로 상향
은행들의 대부분은 현재 한자리 수의 보안인력을 보유하고 있다. 기존 보다 배 이상의 보안 인력 충원이 필요한 은행들도 많은 것으로 파악된다. 또, IT인력 역시 전체 직원의 5%가 안 되는 은행들도 있다. 심지어 모 은행의 경우처럼 최근까지 IT인력을 계속 축소해왔기 때문에 한 팀이 휴가를 가면 백업이 힘들 정도로 대체 여력이 없는 곳도 있다.
은행 보안담당자는 "보안 분야는 일회성의 프로젝트성 사업이 많아 인력의 연속성을 가져가는 게 쉽지 않았다. 보안시스템에 비해 정책, 운영 등 모든 부문에 걸쳐 보안 인력이 부족하다. 보안을 강화하기 위해 예산보다 인력은 더 강제화 해 가져가는 게 맞다"고 강조했다.
은행들은 금융그룹 내 IT자회사가 있는 경우가 많다. IT자회사나 SI업체들에 IT아웃소싱을 하고 있는 곳들이 많고 IT 업무부문의 경우 외부 인력에 대한 의존도가 높은 편이다. 조사 결과 내부 인력보다 외부 인력이 2배 이상 되는 은행들도 많았다. 금융위는 금융사들의 인력채용에 대한 부담을 경감시켜주기 위해, IT자회사의 인력을 내부 인력으로 인정해 준다고 발표했다.
이에 대해 '과연 은행 내부 직원과 IT자회사 인력을 동일하게 보고 업무를 맡길 수 있을지?'에 대해서는 은행 관계자들의 우려감도 적지 않다. 같은 금융그룹에 있는 회사이긴 하지만, 은행 내부 직원에 비해 IT자회사 인력의 경우 이직률도 높은데다가 대우가 다르다보니 책임감이나 로열티가 내부 직원보다 낮을 수밖에 없는데 내부 직원처럼 중요 업무를 맡기는 것은 무리라는 지적이다.
외부 위탁 인력 최대 50%만 허용
앞으로 위탁(외부주문)에 대한 책임이 강화되며 외부 위탁 인력은 IT인력과 보안인력의 최대 50%까지만 허용하게 된다. 금융사의 경우 시스템 규모도 크고 업무 범위도 다양하다보니 외부 인력에 대한 의존도가 높았던 게 사실이다. 금융사 입장에서는 내부 직원을 늘려야 하기 때문에 금융그룹 IT자회사의 인력이나 IT벤더 직원을 내부 직원으로 채용해야 하는 상황이다.
외부 위탁 인력을 50%만 허용할 경우 금융그룹 IT자회사 차원에서 인력 이탈, 매출 저하 등이 부담되므로 여전히 불만을 제기하고 있다. 또한 SI업체나 IT자회사의 재하청이 금지되고 직계약만 허용됨에 따라 하청업체에서 어쩔 수 없이 재하청 업체의 직원을 채용을 해야 하는 상황이라 해당업체들이 이의 신청에 나선 것으로 파악된다.
이와 관련 업계 전문가는 "농협의 경우만보더라도 아웃소싱을 받아 잘못한 IBM 책임이냐? 외부인력에 대한 관리 감독을 못한 농협의 책임이냐? 책임 소지가 불명확하다. 결과적으로 아웃소싱을 주는 게 나쁜 게 아니라, 외부 인력이 제대로 하는지 감시, 감독할 사람자체가 없는 게 더 문제다"라고 꼬집어 말했다.
또한 그는 "과거 금융권에서 일어난 보안 사고를 보면 내부 직원에 의해 발생한 게 더 많으므로 외부 직원이라 못 믿는다고 할 수 없다. 인력에 대한 부분은 금융사 자율적으로 하되, 만일의 사고 시 책임을 부여하는 게 더 나은 방안일 수 있다"고 덧붙였다.
업계 일각에서는 오히려 외부 인력이 내부 직원보다 전문성이 높아 업무상 더 효과적일 수 있다는 주장도 제기되고 있다. 특히, 보안인력은 신규 바이러스, 해킹기법 등을 항상 공부해야 하는데 금융 IT를 하는 사람들은 IT운영이 주 업무이고 내부에서 따라가기 힘들기 때문에 보안산업 현장에서 기술을 배우고 노하우를 축적한 직원들을 활용하는 게 더 효과적이라는 것이다.
<보다 자세한 사항은 컴퓨터월드 12월호 참조>
김정은 기자
jekim92@itdaily.kr