하루이틀만에 해결할 문제가 아니라는 것. 금융전산 보안 문제가 불거질때마다 투자와 비중확대 전문인력 배치에 대해 이야기가 나오지만 그때뿐이었다.
하지만 현대캐피탈 해킹 및 농협 전산장애 사태를 기준으로 이제부터라도 달라져야 한다는 분위기가 고조되고 있다.
금융 전산보안의 안전망을 구축하기 위해서는 어떤 준비가 필요할까.
금융보안연구원 곽창규 원장, 신한은행 서춘석 IT개발본부장, 안철수연구소 커뮤니케이션팀 박근우 부장 등 전문가 의견을 들어봤다.
◇곽창규 금융보안연구원장= 금융보안 문제점의 중심에는 보안예산에 대한 충분하지 못한 투자와 금융보안 전담 인력 부족을 문제로 꼽을 수 있다.
금융당국은 전체 예산의 5%를 보안예산으로 집행하도록 권고하고 있으나, 대부분 3% 내외로 투자하는 것으로 알려져 전자금융거래량의 증가 추세에 비해 금융보안 시설확충 및 보안예산 투자 측면에서는 다소 빈약한 수준이다.
금융회사 금융보안 전반의 수준제고를 위해서는 IT컴플라이언스 확보 및 최소한 감독당국이 제시하는 가이드라인을 충족할 수 있도록 경영진의 인식제고가 필요하다.
보안 관련 예산 확충 부분을 비용의 관점이 아닌 투자의 관점으로 바라보아야 할 것이며, 보안 인력 증원 등과 함께 보안전담조직과 CISO(CSO) 제도 도입 등이 필요할 것이다.
전자금융거래의 안전성을 지속적으로 강화하기 위해서 감독당국 등은 급변하는 전자금융환경에 시의적절한 정책 및 가이드라인을 제시하고 금융회사의 가이드라인 준수여부를 지속적으로 관리 감독할 필요가 있을 것이다.
◇서춘석 신한은행 IT개발본부장=시중은행의 경우 금융전산보안에 대한 문제가 불거진 바 있어 이미 많은 투자가 이뤄지고 있고 철저한 보안시스템을 갖췄다.
효율성을 강조하다보면 절차를 무시하고 건너뛰게 되는 경우가 있다. 농협도 시스템은 잘 갖췄겠지만 업무 효율성을 중시하다보니 반드시 지켜야될 규정 등을 간과한 것 같다.
하지만 대부분의 은행들은 이같은 규정을 철저하게 지키고 있다. 신한은행의 전산실은 2인1조로 지문인식 시스템을 통과해 들어가게 돼 있다.
또한 휴대용 노트북은 절대 사용할 수 없으며 데스크톱 PC에서만 작업을 하도록 돼 있고 인터넷도 연결되지 않는다.
다만 일반적으로 개발이나 업무의 효율성이 중시돼 보안은 후선업무로 밀려 있는 분위기의 개선은 필요하다.
따라서 전문 인력 확보와 인력에 대한 처우가 개선이 돼야 한다. 또한 금융당국 등에서 금융권 담당자들이 반드시 받아야 하는 보안교육전문과정 및 자격을 신설하는 것은 좋은 방안이라고 생각한다.
◇박근우 안철수연구소 부장=IT부서는 소외된 부서다. 회사에서 우선순위가 뒤로 밀리는 곳이 많다.
그래서 아웃소싱을 하는데 대형 SI(시스템통합)업체들이 대부분 계약을 수주하고 중소업체들에게 낮은 가격으로 하청을 주는 구조적인 문제점이 있다. 저가 수주가 확대되면 IT보안은 무너지게 된다.
보안은 단순한 서비스로 이뤄지지 않는다. 굉장히 복잡한 시스템이나 프로세스로 이뤄지는데 따로 떨어진 것으로 생각한다.
회사차원에서 전사적으로 지원이 안되는데 종합적인 구축관리가 필요하다. 특히, 보안부서 및 CIO의 권한과 역할이 전사적인 차원에서 강화돼야 한다.