지난해 말 공지된 `금융회사 IT부문 보호업무 모범규준`의 핵심은 전체 인력 중 IT인력 비율을 5% 이상 유지하고 IT인력 중 보안 인력을 5% 이상 유지하며 IT예산 중 보안 예산을 7% 이상 확보하는 것이다. 증권, 보험, 카드, 캐피털 등 제2금융권 역시 은행권과 마찬가지로 이 기준을 어느 정도 충족한 모습이다.
대부분 회사들이 인력과 예산을 모두 확보한 상태이며 DB암호화 등 시스템 측면에서 부족한 부분을 강화하는 데 힘쓰고 있다. 하지만 지주사가 아닌 그룹사 계열 금융사 중 IT인력이 부족한 몇몇 회사는 IT계열사로 통합한 인력을 자사로 복귀시키는 방안을 신중히 검토하고 있다.
증권업계를 살펴보면 현대증권과 대신증권, 대우증권, 하나대투증권 등이 인력과 보안 예산을 모두 기준에 맞게 확보한 상태다. 우리투자증권은 IT인력과 보안 예산은 확보했지만 보안 인력이 부족해 지속적으로 충원할 예정이다.
현대증권은 이 외에 모범규준 기준을 충족하기 위해 IT본부 내 보안팀을 신설하고 접근통제 및 계정관리시스템 구축, 무선망 차단시스템 구축을 추진했다. 우리투자증권은 네트워크접근제어(NAC)와 PC보안을 위한 PC세이퍼를 도입했다. 대우증권은 연간 2회 규정된 취약점 진단을 위해 최근 컨설팅 계약을 체결했다.
보험사 중 미래에셋생명은 IT인력과 보안예산은 충족했지만 보안 인력이 3%에 불과해 현재 인력을 충원 중이다. 삼성생명과 대한생명은 IT인력을 충원하고 있다. 지주사가 아니기 때문에 삼성SDS와 한화S&C에서 IT업무를 보는 인력이 내부 IT인력으로 인정받지 못한다. 이에 따라 다양한 형태로 인력 충원을 고민하고 있다.
한화그룹 계열 한화손보, 대한생명, 한화증권 금융사들은 한화S&C로 통합했던 IT인력 중 일부를 복귀시켜 IT인력 5% 수준을 맞출 계획이다. IT아웃소싱(ITO) 계약 갱신 시점에 맞춰 한화손보는 오는 9월, 대한생명은 12월 경 일부 IT인력이 각 금융사로 이동한다. 5%는 기본적으로 넘기되 업무 단위로 인력이 이동할 것으로 보인다. 대한생명은 올해 안에 모든 일을 마무리 지을 예정이라고 밝혔다.
삼성생명과 삼성화재 역시 마찬가지다. 삼성생명은 현재 IT인력과 보안인력을 충원 중이며 사업연도 종료일(2013년 3월)까지 마무리 짓겠다고 밝혔다. 업계 관계자에 따르면 삼성생명은 20명 수준이던 정보전략팀 인력을 올해 70명까지 늘렸다. 하지만 5% 기준을 맞추려면 200여명이 더 필요하기 때문에 삼성SDS 인력 이관과 외부 충원 방식을 병행해 인력을 확보할 것으로 알려졌다.
BC카드나 하나SK카드, 두산캐피탈 등 다른 금융사들은 대부분 기본 요건을 충족한 상태다. BC카드는 IT부서와 카드발급부서가 있는 서초동 퓨처센터 내 외부 인터넷 사용을 차단하고 1층 회의실에서만 외부 접속이 가능하도록 해 보안을 강화했다. 하나SK카드는 금융권 최초로 업무 DB와 일반 고객정보 등을 암호화하고 있다.
업계 관계자는 “하반기 금융권 최대 이슈 중 하나는 DB암호화로 은행과 증권 등 대형 금융사들이 예산과 성능 이슈로 눈치만 보고 있는 상황”이라며 “하지만 하나SK의 사례를 시작으로 암호화 프로젝트가 연이어 진행될 전망”이라고 말했다.
제2금융권 모범규준 이행 현황
자료:업계 종합
안호천기자 hcan@etnews.com