금융권에 총자산 규모, 신용도처럼 계량화할 지수로 `보안 능력`을 대외에 공표하는 `금융 보안등급 공시제`를 조속히 시행해야 한다는 목소리가 높다.
3·20 전산망 마비 사태는 금융권의 취약한 보안 의식과 정부의 사후약방문식 관리 체계를 또한 번 여실히 보여줬다. 사고가 터진 후에야 부랴부랴 정부 부처 합동 대책을 마련하고, 그 책임을 금융사에 떠넘기는 관행도 2년 전 농협사태 때와 다르지 않다.
금융보안 전문가들은 초대형 연쇄 금융보안 사고를 막기 위해 금융권 최고의사 결정 라인의 보안 정책 수립과 시행은 물론이고 인력 양성과 선제적 투자가 톱니바퀴처럼 맞물려 돌아가야 한다고 말한다.
금융사의 적극적인 보안투자를 유도하기 위해 국내 신용평가기관과 연계한 `금융 보안등급 공시제`를 도입해야 한다고 전문가들은 지적했다. 한 보안 전문가는 “은행별로 보안 상태 등급을 매겨 잘 운영 중인 곳에는 가점을 부여하는 등의 당근책을 병행해 참여를 유도해야 한다”고 말했다.
금융당국이 금융사 전체 예산의 5% 이상을 보안부문에 투자하라고 가이드라인을 만들었지만, 대부분 `보안`이 아닌 `보완` 투자에 그친다. CISO를 포함한 전문 금융보안 인력도 정부 규정에 맞추기가 힘에 버거운 상황이라고 금융사들은 불만을 토로한다.
금융감독원이 대형 금융기관의 CISO가 100% 선임됐고, 모두 임원급으로 지정했다고 하지만 현실은 그렇지 않았다. 대부분의 CISO는 CIO(최고정보화책임자)를 겸직한다. 이마저 IT 부서의 한 팀으로 예속돼 예산과 인력부문에 아무런 힘을 발휘하지 못하는 신세다.
임종인 고려대 정보보호대학원장은 “금융사에 CISO 의무 도입을 주창하는 정부 당국의 인력구조부터 먼저 뜯어고쳐야 한다”고 비판했다. 임 교수는 “민간 금융사에 보안예산 5% 룰과 CISO 의무지정을 하라고 한 금융위는 정작 팀장급이 보안정책 헤드 역할을 맡고 있으며, 방통위는 네트워크 과장, 청와대 국가안보실엔 행정관 한 명이 일을 전담한다”고 꼬집었다. 민간에 보안 투자와 가이드라인을 요구하는 정부 당국조차 인력 부족에 허덕이는 현실이다.
허술하기 짝이 없는 CISO의 위상 재정립도 필요하다는 지적이다. 익명을 요구한 한 은행 CISO는 “은행 내 보안팀에서 모든 일을 계획할 수 없고 부서별로 영역이 쪼개져 있는데, 컨트롤타워 역할을 하기 위해서는 CISO에게 강력한 힘이 주어져야 한다”며 “하지만 금융사 상당수는 인력도 부족할 뿐더러, 독립적인 업무를 수행할 구조가 아니다”고 밝혔다.
보안 금융 사고 방지책으로 정부 차원에서 금융보안 인력의 양성 플랜 수립과 금융 보안등급 공시제가 필요하다는 주장이 제기됐다. 여러 대학에 사이버 보안과를 비롯해 금융보안 기술을 가르칠 수 있는 전담학과를 대폭 확충하고 카이스트처럼 과학영재 양성의 허브 역할을 할 수 있는 전담 교육체계가 마련돼야 한다는 의견이다. 새 정부 대학 BK21사업과 연계해야 한다는 주장도 나왔다.
길재식기자 osolgil@etnews.com