금융감독원의 존립이 위태로운 상황까지 몰리면서 이달 말까지 진행하려던 전 금융권에 대한 IT보안 점검이 부실로 빠질 우려를 낳고 있다. 최근 대통령까지 직접 나서 금감원을 질타하자 지난달부터 활동에 들어간 ‘금융 IT보안 강화 TF’를 주도하는 금감원 조직 자체가 흔들리고 있기 때문이다.
8일 관계 기관과 업계에 따르면, 당초 금융 IT보안 강화 TF는 280여개 전 금융기관을 대상으로 수차례 서면조사를 진행한 뒤 취약성이 우려되는 금융회사 수십 곳을 뽑아 이달 말까지 현장조사 및 집중 점검을 진행할 예정이다. 현장점검에는 정부 및 당국자 뿐 아니라 민간 보안·IT기업 전문가들도 참여해 실효성을 높이기로 한 만큼 기대를 모았다.
하지만, 최근 저축은행 사태에 따른 도덕성 이슈가 전면화 되고, 농협 사고마저 북한 소행이라는 검찰 발표가 나오면서 최근 금융권을 강타한 보안 이슈는 상대적으로 잠잠해진 형국이다. 이에 따라 전체 금융권 IT보안 점검이 몇몇 금융회사들에 대한 현장조사 형태로 흐지부지 끝나는 것 아니냐는 우려가 커지고 있다.
한 금융기관 관계자는 “지금 금감원 조직 자체가 흔들리고 있는데, IT보안 점검 업무가 손에 잡히겠나”라며 “TF를 가동한다고는 했는데, 몇군데나 점검이 진행됐는지 모르겠고 어떻게 움직이고 있는지도 전혀 알 수 없다”고 말했다. 금감원과 금융회사 모두 점검과 관련된 정보는 쉬쉬하기 바쁜 상황이다.
IT 업계에서도 이번 점검의 실효성에 대한 의문이 제기되고 있다.
업계 한 관계자는 “몇몇 업체는 점검 때 협조 및 동행 요청이 있었던 것으로 알고 있다”며 “하지만 금감원에 투입할 수 있는 점검 인력이 부족하다 보니 어쩔 수 없이 민간에 요청하는 것이지, TF 구성 때 밝힌 것처럼 제대로 된 민관 공조 점검은 아닌 듯하다”고 말했다.
금감원의 ‘2008~2010년 전 금융권 IT 검사 명세’에 따르면 보안관리 허술로 적발된 사례가 은행·보험·증권·캐피털 등 전체 검사 대상 120건 중 56건에 달했다. 하지만, 이 중 행정상 불이익을 받을 수 있는 기관주의 조치를 받은 것은 15건에 불과했다. 기관주의는 금융회사로 하여금 어떤 개선 조치를 진행하라고 강제하는 수준이 아니라, 그야말로 권고 수준의 조치에 불과하다. 이처럼 위반 사례가 적발돼도 후속 조치는 전무하다시피 했다. 이번 IT보안 점검도 이 같은 수준에서 끝날 공산이 크다는 지적이 힘을 얻는 이유다.
금감원 측은 이달 말까지 진행될 점검을 지켜봐달라는 입장이다.
금감원 관계자는 “조직이 어려운 상황인 것은 분명하지만, TF 점검반은 예정대로 한 달 정도 점검을 진행하고 있다”며 “진행 상황을 일일이 다 공개할 수는 없지만, 이르면 다음달 중으로 내놓을 점검 결과와 대책 발표까지는 지켜봐 달라”고 말했다.
이진호·박창규기자 jholee@etnews.co.kr
관련 통계자료 다운로드 금융회사 IT 보안 강화 TF 조직도