정부는 금융보안 중요성을 감안해 형벌 등 제재수단을 상향 조정하고 징벌적 과징금을 도입하는 등 정보보호기술 독립성과 책임성을 확보하는 계획을 수립했다.
전자금융거래 안전성과 신뢰성을 확보하기 위해 의무사항을 제도화하는 정보보호기술 인식도 한층 강화됐다.
정보보호책임관제도를 마련하고 자체적 보안성심의 등으로 책임과 권한을 부여하는 방향으로 제도를 손질했다.
하지만 보안부문에서 가장 중요시 여겨지는 ‘보안성 검토’는 시스템구축 계획 단계부터 문제점을 파악하고 해결방안을 수립하는 등 내실 있는 보안대책 수립이 미진하다.
정보보호 기술인력 전문성 결여와 인력 부재로 자체 보안성 검토는 물론 해결방안도 수립하지 못하는 경우가 많다. 외부에 의존하는 경우가 대부분이며 문제발생 시 책임전가나 책임회피에만 급급한 실정이다.
예전에 비해 해킹 수법 다양화와 지능화, 접근권한이 없는 자의 데이터 유출 행위 등으로 고객과 금융회사 피해뿐만 아니라 신뢰 하락에도 영향을 미치고 있다.
연령층이 높을수록 위험도가 높아지는 현실과 고객의 다양한 거래 형태를 감안해 현실에 맞는 보안성 심사와 보다 세밀한 보안대책 마련이 시급하다. 금융보안인력 부재는 핀테크 시대에 가장 먼저 해결해야할 과제다.
다양한 금융사업이 지속적으로 발생함에도 불구하고 기술인력 부재로 자칫 대형 보안 사고로 이어질 개연성이 높다.
전자금융 정보보호기술 주체는 금융회사다. 금융사가 가장 먼저 책임감을 느끼고 필요한 정보보호기술에 대해 IT보안업계와 유기적인 협력체제를 구축, 고객과 자산보호 최일선에 나서야 한다.
보안은 스스로 지킨다는 생각의 투자 개념과 외부에 위탁 운영한다는 생각의 비용 개념에서 금융회사가 어느 정책을 택하는 것이 효율적인지 따져봐야 한다.
정보보호기술 정책을 마련하고 시스템을 관리 운영할 다양한 정보보호기술의 확보야 말로 효율적 대안이라고 할 수 있다.
금융회사 자체 인력 혹은 금융IT 규모에 따라 전문기술 인력과 그에 따른 보안 전문기술 인력을 확보하는 것만으로는 시스템 안전성과 효율성뿐만 아니라 고객과 자산을 보호할 수 없다. 정책과 인력 확보가 맞물려야 한다.
예를 들어 PC, 네트워크, 애플리케이션, 서버, 데이터베이스, 모바일, 인터넷뱅킹 등에 필요한 전문기술 인력과 그에 따른 최소한의 정보보호기술인력이 필요한 것은 자명하다. IT분야별로 전문성을 갖춘 조직이 없이는 시스템 운영은 물론 고객에 대한 신뢰도 생각할 수 없다.
의학계에도 내과, 외과, 안과 등 전문의사가 있듯이 IT분야에도 전문의사와 유사한 전문분야 기술을 갖춘 보안전문 인력이 있어야 한다.
분야별로 전문성을 보유한 기술인력 조직이 필요하다. 전문성이 떨어지는 만큼 시스템의 취약성은 더욱 커질 수밖에 없다.
규모가 작은 금융회사라도 분야별 전문인력을 필수적으로 확보해야 한다. 보안의식이 상대적으로 취약한 장년층이나 노년층 금융사고가 많은 것을 감안하면 고객 수준에 맞는 정보보호기술 적용을 좀 더 세분화해 구체적 가이드라인을 마련해야 한다.
주기적으로 새로운 정보기술 교육을 병행하고 관리자 교육이 의무적으로 뒷받침돼야 할 것이다.
오득용 오앤파트너스 대표 ohdy@ohnpartners.co.kr
