정부가 내놓은 금융권 종합보안대책에는 무려 30개가 넘는 처방전이 담겨 있다. 법개정은 물론이고 금융사 조직, 인프라, 정부차원의 컨트롤타워 역할까지 그동안 방치됐던 문제점을 모두 끄집어냈다. 때문에 관련 시장에서는 이 많은 대책을 도대체 어떻게 수용해야 할지, 혼란스럽다는 반응이다. 그러면서도 과거에 비해 한층 구체적이고 법과 현실의 벽을 간과하지 않았다는 평가가 공존한다.
이번 금융전산 보안강화 종합대책의 핵심은 제도와 금융보안 관리 체계를 보다 구체화하고 엄격한 잣대를 들이대겠다는 것이다. 이를 위해 모호하고 중복됐던 과거 규정들을 과감히 폐기하거나 손질했다.
CISO 겸임금지와 금융전산 보안 컨트롤타워 역할 강화가 대표적이다.
CIO와 CISO 겸직으로 금융사의 보안조직은 핵심 부서가 아닌 후선 조직으로 평가받았다.
정보보호와 정보관리 업무가 중복되면서, 업무는 상충되고 IT보안보다 IT효율성을 우선하는 경향이 강했다. 이를 위해 금융당국은 일정 규모 이상의 금융회사에 정보보호를 전담하는 CISO전임제를 도입했다. 실제 씨티그룹, HSBC, BNP파리바 등 해외 금융사는 CISO와 CIO 간 직무를 분리하고 전임제를 시행 중이다.
병풍형 CISO제를 막기 위해 CISO 전임자 임기보장제도 도입했다. 보안업무 수행에 따른 문책 부담을 해소하고 정보보호 업무 수행의 연속성이 필요하다는 취지에서다.
금융위 관계자는 “CISO의 독립성을 강화하기 위해 CISO 정책 협의회를 매 분기 개최할 예정”이라며 “협의회를 통해 CISO와 관련된 모든 법적 근거를 마련하고 금융보안 정책 협력 채널을 보다 강화할 것”이라고 밝혔다.
금융결제원과 코스콤, 금융보안 연구원 등 각기 추진했던 보안 업무를 금융위를 주축으로 통합하는 작업이 추진된다.
취약점 점검, 침해사고 대응, 보안 교육 등이 기관별로 중복되고 사고원인 조사에도 유기적인 협력이 되지 않고 있다는 비판 때문이다. 각 기관 간 역할을 조정하고 위기대응 능력을 배가하기 위해 금융전산보안 협의회를 만들었다.
보안 대책 중 민간 금융사의 의견을 적극 반영해 수용한 것도 있다. 금융권 공동 백업전용센터 구축이다.
이 대책은 금융전산 TF회의 때 참여 은행에서 먼저 제안한 것으로 알려졌다. 국내 13개 은행의 전산센터와 재해복구센터는 서울과 경기지역에 몰려있다. 주 전산센터 DB를 파괴하는 사이버공격이 벌어지면, 재해복구센터 DB도 모두 삭제되는 시스템이다.
공격 감행 이후가 더 큰 문제다. 국내 은행에 돈을 예치한 해외 거주 고객이나 기업의 경우 DB가 삭제되면 예치금을 지급받을 수 있는 증거자료가 없다. 3·20 전산 마비 때에도 해외 큰손들의 항의가 상당수 접수됐다.
당초 대책안에 포함될 것으로 알려졌던 외산 보안인력 감축 방안은 포함되지 않았다.
금융위 관계자는 “5,5,7 규정을 유지하는 쪽으로 방향을 잡았기 때문”이라며 “다만 해외 전산 기지 구축 허용 등 변수가 있어, 이 규정 또한 향후 현실에 맞는지 검토할 계획”이라고 설명했다.
6개월 업무 정지 등 강력한 제재 기준도 마련된다. 3·20전산 마비 이후 농협, 신한은행의 처벌 수위에 관심이 집중되고 있다.
금융위는 “금감원 조사가 끝났지만 처벌 수위를 현재 논의 중”이라며 “빈번하게 장애가 발생한 금융사에 대해서는 강력한 제재 기준을 적용할 것”이라고 설명했다. 사실상 농협에 강력한 처벌의사를 피력한 것.
일단 금융당국은 30여개의 보안 대책을 점진적으로 추진할 방침이다. 해결할 문제도 산적해 있다. 각기 규모가 다른 금융업권의 협력이 절실하고 일부 대책은 모호한 정의만 내렸을 뿐 보다 강력한 제도적 뒷받침이 부재하기 때문이다. 이를 위해서는 시행령과 감독규정을 전면 개정하고 보다 체계적인 컨트롤타워 대응조직을 만드는 것이 급선무다.
한 금융권 관계자는 “망 분리 등 기반 시설 보안 강화도 중요하지만 근본적으로 금융보안인력을 양성할 수 있는 장기 마스터플랜이 필요하다”며 “정부가 조급증에 빠져 여러 대책을 끼워 넣기 보다는 실현 가능한 것부터 강력하게 추진해 나가는 꾸준함이 필요하다”고 지적했다.
금융 전산 보안강화대책 추진 계획
(자료:금융위원회)
길재식기자 osolgil@etnews.com
