1년에 60만건 이상 금융거래 정보를 관리하는 금융분석정보원(FIU)이 최소한의 보안 인력도 확보하지 못한 것으로 드러났다.
금융기관에는 IT업무 위탁 운영에 대한 별도 보안대책 등 각종 관리를 요구하면서 정작 정부는 내부 직원 정보유출과 해킹, 사이버테러 등 대응까지 외주업체에 위탁했다.
8일 국회 정무위원회에 따르면 금융위원회 산하 FIU 전산인력 중 자체 인력은 3명에 불과했다. 법에 규정된 FIU 정원 62명의 5%도 안 되는 비중이다. FIU는 1년에 62만건 넘는 의심거래 정보를 수집한다. 수집된 거래 정보에는 주소나 전화번호 등 개인정보뿐 아니라 계좌와 다른 금융거래 정황 등 다양한 내용이 담긴다. 국세청, 경찰청 등 수사기관도 법집행을 위해 FIU 정보를 활용한다.
이처럼 각종 주요 정보가 FIU를 통해 다뤄지고 있지만 관리 감독은 제대로 되지 않는다.
현재 FIU 내부 보안업무와 외부 보안관제 업무는 전산 유지·관리 용역업체가 전담한다. FIU 내부 직원이나 전산 유지·관리 직원에 의한 정보 유출을 대응하는 내부 보안업무도 용역 업체가 맡는다. 외부 보안관제 업무는 이 용역업체와 하도급계약을 체결한 업체 차장급 직원이 전담한다.
전산 사고가 발생하면 용역업체와 하도급업체에 사고 책임이 돌아가는 구조다.
정무위원회 관계자도 “전산사고가 발생하는 경우 용역업체에 책임을 일원적으로 물을 수 있다는 것은 행정 편의적 발상”이라며 “보안부문을 따로 분리해 보안사고 책임을 명확히 할 필요가 있다”고 지적했다.
하지만 금융위는 당장 인력 충원에 나서기 어렵다는 입장이다.
금융위 관계자는 “소속기관 직제 개편 등 행정자치부를 거쳐 인력을 확보하는 절차 등을 감안하면 2년 정도 걸린다”고 밝혔다.
금융감독원도 FIU에 대한 감독 권한을 갖고 있지 않으며, 외부 위탁 인력 비중만으로 관리 감독 실태를 가늠하는 것이 맞지 않는다는 입장이다.
내년 예산안에도 핵심 보안 인력을 위한 인건비 예산은 제외됐다. 인건비 예산이 제외되면서 시스템 고도화를 위한 예산도 역시 빠졌다. FIU는 2014년 3년 단위 정보화전략계획을 수립했지만 올해도 예산을 받지 못했다.
2013년 38만건에서 지난해 62만건으로 2년 만에 의심거래 건수가 2배 가까이 증가했지만, 시스템 고도화는 물론 핵심 전산 보안 인력 확보도 전혀 이뤄지지 않았다.
금융권 관계자는 “금융회사에는 IT부문 위험 관리를 강조하던 당국이 방침과 달리 금융당국이 FIU 등 스스로의 문제에 대해서는 너무 안일하게 대응하고 있다”며 “대형 정보유출 사태가 발생하지 않을까 우려된다”고 밝혔다.
<금융정보분석원 의심거래 보고 건수 (자료: 금융위원회)>
유근일기자 ryuryu@etnews.com
