“보안 책임을 공급자인 금융사에게만 지우는 방안은 재검토해야 합니다. 사이버공격 예방은 사용자 보안 의식을 높이는 게 핵심인데, 사고 터지면 모든 책임을 금융사에게만 지우는 건 아무 도움이 안 됩니다. 그럴 경우 사용자의 보안의식은 낮아집니다.”
“금융감독원이 규제만 하려 하지 말고, 보안투자를 잘하는 금융사에게는 인센티브를 줘야합니다. 또 보안사고 발생 시 그 결과만 보지 말고 금융사가 어떤 노력을 했는지도 정상 참작하는 융통성을 발휘했으면 합니다.”
24일 금융감독원 주최로 열린 금융IT 전문가 간담회장. 이 자리에 참석한 금융회사 최고정보책임자(CIO)와 학계 교수, IT 전문가 등은 정부의 보안대책에 신랄한 성토를 쏟아냈다. 정부의 금융보안 규제가 정책 차원의 생산성 향상 보다는 처벌, 책임 전가로만 흘러가면 안 된다는 입장이 상당수였다.
3·20 사태 이후 정부는 광범위한 종합보안대책을 발표했다. 30여개가 넘는 보안 지침이 내려왔다. 하지만 금융사들은 가이드라인이 정부 정책 방향을 담보하기 보다는 산발적인 모양새라고 비판했다. 간담회에 참석한 한 금융사 관계자는 “디테일한 보안 가이드라인을 제시하다보면 오히려 업계의 자율성을 침해하고 효율성을 떨어트린다”며 “특정 기술과 제품, 솔루션을 유도하는 규정은 오히려 해커의 먹잇감이 될 수 있다”고 경고했다. 보다 장기적인 정책을 강화하는 규제방안이 마련돼야 한다는 지적이다.
반면 규모가 작은 금융사들은 오히려 보다 세밀한 가이드라인이 필요하다고 주장했다. 대형 금융사와 중소형 금융사간 보안 지침을 바라보는 시각이 대조를 이뤘다. 중소형 금융사 관계자는 “규모가 작은 회사는 금융당국이 보다 디테일한 가이드라인을 제시해줘야 한다”며 “다시 말해 보안 인력이나 수준이 낮은 금융사는 스스로 보안을 강화할 수 있는 체질이 떨어지기 때문에 중소형 금융사에게 적용할 수 있는 명확한 가이드라인을 마련해 달라”고 요청했다.
금융감독원의 `보안성 심의`에 대해서는 한결같이 개선이 필요하다고 입을 모았다. 간담회 참석자들은 금융감독원이 진행하는 보안성 심의가 기약 없이 흘러가는 경우가 많아 적시 대응이 힘들다고 주장했다. 한 관계자는 “특정 기술과 솔루션 보안성 심의를 요청해도 어떨 때는 수개월이 걸리고 어떨 때는 단 며칠 만에 끝나는 경우도 있다”며 “시급히 시장에 필요한 기술이나 제품에 대해서는 심의 기간을 예측할 수 있는 프로그램이나 대안을 마련해야 한다”고 밝혔다.
보안사고 발생 시 금융사의 CEO에게 책임을 묻는 방안과 관련해서는 대체로 긍정적인 반응이다. 최수현 금융감독원장은 “CEO에게 사고 책임을 묻는 것은 보안투자에 관심을 유도하고, 말 뿐인 보안투자의 굴레에서 벗어나기 위함”이라며 “금융 산업에 있어 IT 및 보안에 대한 투자는 일시적 비용이 아니라 영업 인프라 구축과 경쟁력 확보를 위한 투자의 개념으로 이해해야 한다”고 밝혔다. 또 “금융권의 전산보안사고와 신종 전자금융사기 피해가 지속적으로 발생하는 등 금융IT 환경 변화에 따른 보안강화 대책이 필요하다”고 말했다.
정부 부처 간 보안 정책 엇박자도 제기됐다. 미래창조과학부와 금융 당국 간 여러 보안 관련 법, 규정이 중첩되는 부분이 많아 이를 조율해야 한다는 의견이 지배적이다. 한 관계자는 “전자통신법과 전자금융감독규정을 보면 상당부분 중첩되는 부분이 많고, 보안투자를 진행하는데 있어서도 어떤 규정을 먼저 따라야 할지 혼란스럽다”며 “(이런 부분은)각 부처가 책임만 떠넘길게 아니라 명확히 조율해 혼란을 막아야 한다”고 설명했다. 이에 대해 최수현 금감원장은 “유기적으로 각 부처 간 의견을 개진하겠다”며 “필요한 역할이 주어진다면 적극 나서겠다”고 화답했다. 최 원장은 앞으로 금융IT전문가와의 간담회를 정례화하겠다고 약속했다.
길재식기자 osolgil@etnews.com
