금감원 정보보안 감독 구멍… "인력부족 탓 말고 보안인식 높여야"

'1대123개' 금융감독원 정보기술(IT) 검사인력이 맡고 있는 금융회사 숫자다. 지난해 말 기준으로 은행ㆍ보험ㆍ증권ㆍ저축은행 등 금융사의 수는 1,353개에 이르지만 이들 회사의 정보보안을 감독할 금감원 직원 수는 11명에 불과하다. 감독당국의 인력 구조로 볼 때 금융권에 대한 보안 등 IT 분야 감독이 철저하지 못할 수밖에 없다는 얘기다. 금감원의 한 관계자도 "금융사 종합검사 때 IT 분야를 들여다보기는 한다"면서도 "담당하는 인력이 워낙 적기 때문에 저축은행 등을 검사할 때는 IT인력과 함께 나가기가 어려운 게 사실"이라고 말할 정도다. 하지만 이러한 사정은 감독당국이 보안의 중요성을 간과하고 있기 때문이라는 게 전문가들의 공통된 지적이다. IT 부문 실태평가 대상에 저축은행과 캐피털, 단위 신용협동조합들이 빠져 있는 것도 같은 맥락이다. 보안업계의 한 관계자는 "현대캐피탈 해킹사건에서 보듯 금융회사 고객의 신용정보 유출은 금융질서 전반을 흔들고 금융시스템에 대한 신뢰에도 영향을 줄 정도로 심각한 사안"이라며 "감독당국이 인력부족 탓만 하고 있는 것은 금융시장 변화에 제대로 대응하지 못하고 있다는 방증"이라고 말했다. 금융권 안팎에서는 감독당국이 보안의 중요성을 심각하게 받아들이고 인력 확보와 지원ㆍ검사를 대대적으로 확충해야 한다는 지적이 나온다. 특히 캐피털사나 저축은행의 경우 거래고객만 회사당 수십, 수백만명에 이르기 때문에 더 이상 예산이나 인력 문제로 IT 분야에 대한 검사를 소홀히 해서는 안 된다는 말이 설득력을 얻고 있다. 금감원은 이 같은 지적에 대해 현대캐피탈 고객정보 유출 사건을 계기로 IT검사 인력을 상당수 확충할 방침이라고 12일 밝혔다. 금감원 관계자는 "정보보호 업무의 검사 요청이 들어와도 응하지 못하는 사례가 있었기 때문에 검사인력을 늘리는 것도 검토하고 있다"고 말했다. 정보보안의 중요성에 대해서는 금융권의 인식이 부족하다는 점도는 문제로 지적된다. 이는 IT 예산 중 정보보안 분야에 투입하는 예산과 인력에서 확연히 드러난다. 이성헌 한나라당 의원이 수집한 자료에 따르면 2금융권 중 대표적인 업종인 신용카드사의 경우 지난해 IT 관련 예산 중 보안에 투입한 비중은 3.6%에 불과했다. 사정이 이러한데도 금감원은 선진국 수준인 5%에는 못 미치더라도 3%가량은 유지하라고 권고만 할 뿐 이렇다 할 제재를 가하지 않고 있다. 금융권이 보안 관련 투자에 인색한 이유는 대규모 자금을 투자해 보안시스템을 구축해도 해커의 공격을 모두 막아내기가 현실적으로 어렵기 때문이다. 또한 현재까지 해킹에 따른 고객들의 금전적 피해가 발생한 사례가 없었다는 점도 투자를 주저하게 만들고 있다. 캐피털업계의 한 관계자는 "업계에는 그동안 금융권에 해킹으로 인한 피해가 수 차례 발생했다는 말이 공공연히 돌아다니고 있다"며 "금융기관의 신뢰도 문제와 직결되기 때문에 대부분 외부에 알리지 않고 해커들에게 돈을 줘 정보유출을 막았다고 한다"고 전했다. 구체적인 사례가 확인되지는 않았지만 대규모 자금을 투자하고 지속적으로 노력해 해커의 공격에 대비하기보다 '거래'를 통해 피해를 막는 손쉬운 방법을 택하고 있다는 것이다. 금감원은 이와 관련해 금융회사가 정보보호 전담조직과 인력을 운영하는지 여부와 정보보호 예산을 전체 IT 예산의 5%까지 확보했는지를 경영실태평가에 반영할 방침이다. 금감원 관계자는 "당장 인력과 예산을 많이 확보하도록 강제하는 데는 다소 무리가 따르는 만큼 경영실태평가를 통해 유도하는 방식을 택할 것"이라고 말했다.