지난 2011년 11월 금융위원회는 농협 사태 등 해킹 사고가 잇따르자 전자금융감독규정을 개정했다. 전자금융거래의 안정성을 확보하기 위해 금융 회사들로 하여금 전체 인력의 5%를 IT 인력으로, IT 인력의 5%를 보안 인력으로 배치토록 한 것이다. 시행에 들어간 지 올해로 1년. 국내 금융 업계의 IT·보안 인력 운용 현황이 처음 확인됐다. 미흡한 곳이 적지 않았다.
◇100곳 중 24곳은 `IT 인력 미달`=금융위원회가 은행·증권·보험·여신전문·신용정보 등 국내 금융 기업 307곳을 대상으로 IT 인력 현황을 조사했다. 그 결과 총 73개사가 IT 인력 규정을 충족하지 못한 것으로 나타났다. 또 보안 인력 기준에 미달한 곳은 21개사로 집계됐다.
비율로는 100곳 중 24곳이 IT 인력을, 100곳 중 7개 정도가 보안 인력 기준을 맞추지 못한 셈이다.
시행 1년이 지나고 전자금융 비중 증가와 해킹 위협이 갈수록 높아지고 있는 상황에서도 대비가 안 된 금융사가 적지 않다는 의미다.
업종별로는 보험과 신용정보 업체의 기준 미달이 두드러졌다.
은행(100%), 증권(85.7%), 여신전문(73.5%) 업체들은 IT 인력 기준 충족률이 양호한 반면 보험(53.1%), 신용정보(50%)는 상대적으로 낮았다.
보안 인력에 있어서는 은행(100%), 증권(94.6%), 보험(100%), 여신전문(81.1%), 신용정보(96.4%) 모두가 전반적으로 높은 비율을 보였다.
IT 인력 대비 보안 인력이 잘 갖춰져 보이는 건 상대적으로 기준 비율이 낮기 때문으로 풀이된다.
◇전자금융 중요하다면서=금융위원회는 시행 1년을 맞아 지난 1월 현황 파악에 나섰다. 하지만 이번 조사는 기업이 자체적으로 제출한 문서를 토대로 집계돼 한계가 있다. 실상은 더 미흡하다는 게 현장의 목소리다.
한 금융 업체의 보안 담당자는 “당국의 권고안을 맞추기 위해 머릿수만 채워 놓는 경우가 많다”고 털어놨다.
전담 인력도 아니면서 IT나 보안 담당자인 것처럼 꾸며 보고하는 식으로, 그는 “채용이 쉽지 않은 문제다 보니 실제와 다르게 보고하는 경우가 흔하다”고 덧붙였다.
규정을 어겨도 별 다른 제재를 받지 않는 점도 실효성을 떨어뜨리는 요인이다. 기준을 이행하지 않을 경우 사유 등을 홈페이지에 공시하는 게 전부다. 규정 자체가 권고기 때문에 강제성도 없다.
하지만 IT와 보안 전문 인력이 취약할수록 전자금융 불안감은 커질 수밖에 없다. 농협 전산마비사태와 같은 혼란이 반복될 수 있다.
금융위는 보다 정확한 이행 여부를 확인하기 위해 현장 조사에 나설 계획이라고 밝혔다. 금융위 관계자는 “금감원을 통해 실태 조사를 실시할 예정”이라고 말했다.
(출처: 금융위원회)
*기준: IT 인력 - 전체 인력의 5%, 보안인력 - IT 인력의 5%.
윤건일기자 benyun@etnews.com