앞으로 금융당국의 감독을 받는 금융기관 및 기업은 정보기술(IT) 부문 계획서를 의무적으로 제출해야 한다. 또 망분리 사업 추진 시에도 금융당국의 사전 검토를 반드시 받아야 한다. 하지만 업계는 금융당국이 현미경으로 들여다보듯이 너무 심하게 간섭하는 것이 아니냐는 비난하고 있다. 일각에서는 저축은행, 동양 사태 등으로 관리감독 부실 비판을 받고 있는 금감원이 금융기업들을 상대로 `군기잡기`에 나서고 있는 게 아니냐는 지적마저 나올 정도다.
◇금융당국 사전 승인에 업계 `불만`
지난달 국무회의를 통과한 전자금융거래법 시행령 일부개정령 안에는 정보기술부문 계획서 제출에 관한 세부 사항이 담겼다. 기존에는 총자산 2조원 이상, 상시종업원 300명 이상 금융기관만이 계획서를 제출해야 했다. 하지만 이번 개정안에서는 법률이 정한 금감원에 검사를 받는 기관들의 대다수가 포함됐다. 해당 기관 및 기업은 △정보기술부문 추진목표 및 전략 △전자금융거래 및 정보기술부문 조직 등 운용 현황 △직전 연도 추진 실적 및 당해 연도 추진 계획 △예산 상황 등을 상세 내용을 매년 보고해야 한다.
익명을 요구한 금융기업의 최고정보책임자(CIO)는 “금융당국이 요구하는 형식에 맞춰 계획서를 제출하려면 최소 한 달 이상이 소요될 정도로 작업을 많이 해야 한다”며 “단순히 IT 투자 계획에 대한 보고서만 제출하는 것으로 끝나는 것이 아니라 계속적으로 이 같은 자료들을 기반으로 직접 통제를 하려 하는 것”이라고 말했다.
최근 금융기업의 불만을 높이 샀던 것은 망분리 사업에 대한 사전승인제다. 금융감독원과 금융위원회는 `금융전산 망분리 가이드라인`을 발표하면서 금융권에서 망분리 사업 도입 시 망분리 방식이나 여러 사항들이 가이드에 따른 지침 내용에 의거해 보안적으로 위배되거나 문제 사항이 없는지를 사전 검토 받도록 했다.
금융기업들은 `금융전산 망분리 사전 검토 신청 양식`을 제출해 관련 사업 내용에 이상이 없을 시에만 사업을 진행할 수 있다. 금감당국이 제시한 가이드라인과 다르면 수정 조치해야 한다.
업계는 이 같은 사전 승인 조치는 전례 없던 것이라며 너무 심한 간섭이 아니냐는 입장이다. 금융당국이 너무 세세한 부분까지 검토하려 하자 특정 영역의 IT 업체에 특혜를 주기 위한 것이 아니냐는 의문까지 제기되고 있다. 금감원에서 제시한 망분리 방식을 준수하는 IT 업체는 다섯 군데 안팎으로 많지 않다.
금융업계 한 관계자 “지금까지 보안 관련 다양한 규제들이 나왔지만 이처럼 사전 계획서를 제출하고, 승인을 받도록 한 적은 없었다”며 “관리감독을 강화하겠다는 의도는 알지만 너무 간섭하려하면 금융사의 IT 담당자는 허수아비 신세로 전락할 수밖에 없다”고 말했다.
또 금감원은 최근 `기업공시시스템(DART)의 데스크톱 가상화시스템 구축 사업`을 추진하면서 자신들이 내놓은 망분리 가이드라인을 따르지 않았다. 시스템 개발 및 운영을 수행하는 조직에 물리적 망분리를 의무화하도록 해놓고선 금감원은 논리적 망분리 방식을 택했다. 이에 대해 금감원 측은 “금감원은 금융기업이 아니기 때문에 망분리 가이드라인을 반드시 준수해야할 의무가 있는 것은 아니다”고 답했다.
◇업계 `프린시플 베이스` 규제 방향 원해
금융업계는 IT정책 가운데서도 보안 영역에 대해서 만큼은 업체들의 자율성이 어느 정도 보장이 돼야 한다는 입장이다. 너무 세부적인 부분까지 규제하게 되면 일관된 보안 정책으로 오히려 해커들을 돕게 만드는 것이라는 지적이다.
증권업계 한 CIO는 “망분리와 같은 보안 관련 정책은 금융기업이 다양성을 가질 수 있어야 해커가 어려움을 느낄 텐데 지금과 같은 천편일률적인 정책은 오히려 독이 될 수 있다”며 “세세한 부분까지 감독 규정하는 `룰 베이스` 규제보단 큰 원칙만 정하고 세부사항은 기업이 알아서 하도록 하는 `프린시플 베이스` 규제 방향으로 가야 한다”고 말했다.
금융업계는 이 같은 내용에 대해 금융당국과의 공식 모임에서 여러 차례 문제제기를 해온 것으로 알려졌다. 하지만 금융당국은 금융소비자 권익 보호를 위해 금융기관을 관리 감독해야 하는 의무에서 충분히 할 수 있는 규제라는 입장을 고수했다.
금감원 IT감독국 측은 “나날이 고도화되는 해킹, 사이버테러 등 IT 보안사고에 보다 효율적으로 대응하기 위한 규제”라고 말했다.
금융감독원은 지난 5월 최근 빈발하는 금융회사의 IT 보안사고에 대한 감독강화를 위해 `IT보안팀`을 IT감독국 산하에 신설하기도 했다.
금융업계 IT 관계자는 “금융당국의 지침대로 했는데도 나중에 보안 문제가 터지면 정부가 책임을 져 줄거냐”며 “금융당국이 나서서 책임지지도 못하는 것을 이렇게까지 과도하게 규제하려고 하는 것은 오히려 우리나라 금융전산 전체를 평준 하향화시키는 것”이라고 말했다.
금융당국의 주요 IT 관련 감독 사항
![[CIOBIZ+]금융당국 감독 강화에 금융권 CIO는 `허수아비` 신세](https://img.etnews.com/cms/uploadfiles/afieldfile/2013/12/04/506185_20131204143726_080_T0001_550.png)
성현희기자 sunghh@etnews.com
