금융위원회가 금융권 보안강화 대책을 마련한다. 전자금융감독규정을 전면 개정하면서까지 보안 관련 감독규정을 강화하고 있다. 환영할 만한 일이다. 그러나 우려의 목소리도 높다. 여기에는 보안강화로 부담이 커진다는 금융회사 목소리도 들어있다.
진짜 우려의 목소리도 있다. 정책당국이 여론에 떠밀려 현실을 무시한 채 보안강화 정책을 마련한다는 것이다. 지난 4월 농협 해킹사고가 사회 이슈로 떠오르면서 여론은 당시 허술한 금융권 보안을 질타했다. 금융 감독당국도 질타 대상에서 예외는 아니었다. 현재 금융위원회 모습이 어떻게든 거센 여론으로부터 벗어나기 위해 무조건 강한 규정을 만들고 있는 것처럼 보인다.
가장 대표적인 사안은 IT아웃소싱 인력을 제안하는 규정이다. 금융위원회는 전자금융감독규정 전부개정을 통해 금융회사는 총 임직원의 5% 만큼 IT인력을 확보하도록 할 방침이다. 5% 가운데 절반은 자체인력으로 둬야 한다는 것도 명시한다. 궁극적으로 금융회사 IT아웃소싱 비중을 50%로 제한한다는 의미다.
웹 기반 스마트폰뱅킹 서비스에 대한 보안규정도 마찬가지다. 개정안에 따르면 웹 기반 스마트폰뱅킹 서비스를 구현하려면 보안솔루션을 적용하도록 돼 있다. 그러나 다수 스마트폰에 적용된 크롬, 사파리 웹브라우저에서 구동되는 보안솔루션은 국내 없다. 금융회사가 보안 솔루션을 도입하려 해도 제품이 없어 도입을 못하는 상황이다. 금융회사 인터넷 망분리나 최고정보보호책임자(CISO) 도입도 강제하기에는 현실성이 결여돼 있다.
아무리 보안정책이 좋다 하더라도 현실적으로 따르기 어렵다면 그 정책은 무용지물이 되고 만다. 그럴 바에는 다소 정도가 완화된다 하더라도 현실 가능한 정책을 마련하는 게 더 효과적이다. 단계적으로 보안 강도를 높여 나가는 정책을 수립하는 것도 방법 중 하나다. 금융위원회는 무조건적인 강도 높은 규제보다 현실 가능한 정책 수립에 나서야 한다.
신혜권기자 hkshin@etnews.com
