[사설]금융당국의 어이없는 `보안의식`

1년에 60만건 이상의 금융 거래 정보를 다루는 금융분석정보원(FIU)의 전산 전담 인력이 3명에 불과하다는 사실은 충격이다. 특히 FIU 내부 보안과 외부 보안 관제 업무까지 외주 용역업체나 재하청 업체가 전담한다는 현실은 할 말을 잃게 한다.

2014년 1월 1억건에 이르는 카드 정보유출 사고에 대한 기억이 아직도 생생하다. 당시 정보 유출은 협력업체 직원에 의해 발생했다. 프로젝트를 진행하던 외주 업체 직원이 전산망에 접속해 회원 이름, 휴대전화번호, 직장명, 주소, 신용정보 등을 휴대용 저장장치(USB)에 담아 외부로 유출시켰다.

당시 대규모 정보 유출 자체도 문제였지만 너무도 어이없는 정보 유출 과정은 더 큰 문제로 지적됐다.

이후 금융 당국은 대규모 감사에 착수, 다양한 대응 체계를 마련했다. 이 사건의 여파로 현재까지 금융 회사들은 업무계획서, 정보기술(IT) 부문 계획서, 자체 보안성 심의 결과서 등 수많은 보고서를 금융 당국에 제출해야 한다.

하지만 정작 금융 당국의 보안 의식은 이전과 별반 달라지지 않았다.

FIU에 수집된 금융 거래 정보에는 주소나 전화번호 등 개인정보뿐만 아니라 계좌와 금융 거래 정황 등이 모두 담겨 있다. 국세청, 경찰청 등 수사 기관까지 이 정보를 활용할 정도로 중요한 정보가 포함됐다.

금융 의심 거래 건수는 2013년 38만건에서 지난해 62만건으로 2년 만에 2배 가까이 증가했다. 하지만 이 기간의 시스템 고도화는 물론 핵심 전산 보안 인력조차 확보되지 않았다. 예산안에 반영되지 않았으니 내년 상황도 마찬가지다.

하지만 금융위원회나 금융감독원은 이의 해결 노력은 고사하고 문제의식조차 전혀 있지 않은 것 같으로 보인다. 예산이 없다거나 관할이 아니라며 회피하기만 한다.

정말 큰 사고가 터지고 난 다음에 문제의 심각성을 느끼게 될 지 걱정된다. FIU 사례로 볼 때 과연 금융 당국이 금융회사에 보안 관련 지침을 내리거나 감독할 자격은 있는지 묻고 싶다.