정보통신기반시설, 금융권 `사각지대`

　정부가 사이버 공격 위협에 대응해 정보통신 기반시설을 추가 지정하는 등 기반시설 보호에 나서고 있지만 정작 해킹의 주요 타깃이 되고 있는 금융권이 사각지대로 방치되고 있다. 2001년 은행권에 17개, 사이버트레이딩 40개를 정보통신 기반시설로 지정한 이후 금융권은 한 번도 추가·수정되지 않은 채 10년 이상 방치돼 있다.

　25일 업계 전문가는 “지난해 3분기 기준으로 인터넷뱅킹 이용건수는 일평균 3401만건, 이용금액은 28조 5389억원에 달할 정도로 성장했지만 정보통신 기반시설 규모는 10여년 전과 같다”며 “제2금융권, 상호협동조합 등 늘어난 금융권 규모를 감안한다면 정보통신 기반시설로 지정해 관리, 보안취약성을 제거해야 한다”고 말했다.

　하지만 금융위원회는 금융권 정보통신 기반시설을 추가할 계획이 전혀 없다는 입장을 밝혔다.

　금융위 관계자는 “지난 2년여 전에도 비슷한 문제가 제기돼 연구·조사를 펼쳤지만 특별히 금융권에 정보통신망 기반시설을 늘릴 필요는 없다고 판단했다”며 “무조건 금융이라고 해서 다 보호해야 하는 것은 아니다. 공격은 대형 사이트 위주로 들어오기 때문에 당장 투자 여력이 없는 소규모 금융회사에 매년 비용을 투자해 보안감사를 받으라고 하는 것은 큰 부담을 주기 때문에 어렵다”고 말했다.

　금감위는 또 금융감독원에서 매년 IT 실태조사를 통해 무료로 취약점을 분석해주기 때문에 충분히 제2금융권 등의 보안 감사에 문제가 없다고 밝혔다. 금감위는 “정보통신 기반시설에 지정돼 별도 비용을 투자해서 취약성 점검을 받는다 하더라도 금융전문가가 아닌 IT 전문가에 의한 취약성 점검이어서 오히려 전문성이 떨어질 수 있다”는 입장이다.

　또 정보통신 기반시설로 지정되면 취약성 점검은 위해 연간 최소 5000만원 이상의 비용이 수반되기 때문에 사고가 발생해서 들어가는 손실에 비해 이를 예방하는 비용이 더 투자된다는 점을 감안하면 과도한 투자라는 금감위의 해석이다.

　하지만 정부가 최근 ‘스턱스넷(Stuxnet)’ 확산 등 주요 기간망을 공격하는 사이버 공격 위협 수위가 높아짐에 따라 지역발전소·지하철 등 44곳을 정보통신 기반시설로 추가 지정하는 상황에서 국민의 돈을 관리하는 금융권의 이 같은 대응은 이해하기 어렵다. 정보통신 기반시설로 지정되면 정보통신기반보호법 적용을 받게 돼 지정 기관은 매년 정보보호 계획을 수립하고 사이버 보안 취약점 점검 등의 보안 대책을 수행해야 한다. 그만큼 피해를 사전에 예방할 수 있게 된다.

　행정안전부 관계자는 “금융권 정보통신 기반시설 지정에 대해 그간 관리가 소흘했음에 동감하고 실태조사 후 권고조치토록 할 예정”이라며 “실태조사 후 필요성을 제기하겠지만, 해당 금융 기관을 정보통신 기반시설로 지정하는 일은 중앙행정기관인 기재부와 금융위의 소관”이라고 말했다.

장윤정기자 linda@etnews.co.kr