연이은 보안사고 이후 최근 3년 새 금융권 보안인력은 평균 2%포인트(P), 예산은 3%P가량 늘어난 것으로 집계됐다. 하지만 거래고객이 가장 많은 시중은행은 금융권을 통틀어 최하위 증가율을 기록했다. 기업 규모를 감안하더라도 보안의식 수준이 여전히 낮다는 비판은 면하기 어려울 것으로 보인다.
9일 금융당국이 시중은행과 증권사, 카드사, 보험사 117개사를 대상으로 ‘5.5.7 감독규정 이행 여부’를 조사한 결과, IT인력과 보안인력, 보안예산 모두 2%P 이상 늘어나 금융권 전반에 보안 예산을 늘리고 인력을 확충하려는 움직임이 활발한 것으로 조사됐다.
금융당국은 2011년 말 금융전산 보안 강화 종합대책 일환으로 ‘5.5.7 감독규정’을 내놓고 시행 중이다. 이는 금융사가 전체 인력의 5% 이상을 IT인력으로 채용하고, IT인력 중 5% 이상을 보안인력으로, IT예산의 7% 이상을 정보보호에 집행하도록 한 규정이다.
비록 강제규정은 아니지만, 감독규정을 어기는 금융사 대상으로 별도 페널티 등이 주어지기 때문에 보안투자 부문 가이드라인으로 꼽혔다.
규정 시행 이후 모든 금융사는 지난해 이 규정을 거의 충족하고 있는 것으로 나타났다. 주목할 만한 것은 금융업권별 평균 보안예산을 조사한 결과 지난해 증권사가 은행을 제치고 집행증가율이 높은 것으로 집계됐다. 증권사는 2012년 8.71%에서 지난해 10.49%로 처음으로 두 자릿수를 기록했다.
반면에 18개 은행의 평균 보안예산은 지난해 9.27%로 2012년 11.22%에서 되레 뒷걸음질쳤다. 보험사는 10.12%, 카드사는 9.82% 순으로 나타나 규모가 큰 은행의 보안투자가 상대적으로 더뎠다.
정보유출 사태로 곤욕을 겪고 있는 카드사는 2011년 보안예산이 전체 예산의 6.83%에 그쳤지만 2012년 9.87%로 늘었고, 지난해에는 9.82%로 소폭 감소했다.
보안예산 7% 규칙에 미달된 금융사는 117곳을 통틀어 두 곳이었다. 2011년 58개 금융사가 전체 예산의 7% 이하로 보안예산을 책정했던 것을 감안하면 상당 부분 보안투자를 늘린 것으로 보인다.
보안인력 부문에서는 카드사가 유일하게 IT인력 중 10% 이상을 보안인력으로 확보하고 있는 것으로 나타났다. 지난해 카드사의 평균 보안인력은 전체 IT인력 중 10.20%를 기록해 2011년 6.94%, 2012년 8.72% 대비 큰 폭 증가했다. 뒤이어 증권사 7.40%, 보험사 6.67%, 은행 6.07%를 기록했다.
전체 금융사의 평균 보안인력은 6.86%로 금융당국의 ‘보안인력 5% 이상’ 규정은 충족했다. 117개 금융사 중 6개사는 아직까지 전체 IT인력 중 5%를 보안 인력으로 확보하지 못한 것으로 나타났다. 2011년에는 47개사가 5%보안인력 미달을 기록한 바 있다.
IT인력은 카드사가 9.14%로 가장 높았고, 증권사 6.80%, 보험사 6.32%, 은행 5.5% 순이었다.
금융당국 관계자는 “금융권이 보안예산과 인력 확보를 꾸준히 할 수 있도록 적극적인 지도와 함께 5.5.7 규정이 정착될 수 있도록 면밀히 들여다보겠다”고 말했다.
<금융회사의 IT인력·보안인력·보안예산 추이 (자료: 업계 종합)>
길재식기자 osolgil@etnews.com
