분산서비스거부(DDoS) 공격 확산 등을 계기로 정보보호 강화 요구가 높아지고 있는 가운데 최근 금융감독원이 ‘금융사 DDoS 공격 대응방안’을 발표했다.
발표에 따르면 금융사들은 기술적 대응 역량을 높이기 위해 연말까지 6개의 의무사항을 지켜야 한다. 또 상시적인 정보보호 관리체계 강화를 위해 1개의 의무사항과 3개의 권고사항을 준수해야 한다. 이 중 기술적 대응 역량 제고를 위한 6개의 의무사항은 대부분이 DDoS 공격 대응시스템 도입, 24시간 침해대응관리체제 구축 등 관련 보안시스템을 구축하고 체계를 마련하는 작업들이다. 이는 비용이 투입되고 물리적인 시간이 필요한 사항이지만 정보보호 강화를 위해 금융사들이 당연히 해야 하고 또 충분히 할 수 있는 일들이다.
문제는 정보보호 관리체계 강화를 위해 제시한 3개의 권고사항이다. 금감원은 △최고정보보호책임자(CSO) 임명 △정보보호 전담조직 구성 및 적정 인력과 예산 확보 △금융정보보호 전문가 양성을 권고사항으로 제시했다. 취지만 보면 충분히 이해가 되는 내용이지만 금융권의 현실을 보면 가까운 시일 내에 실현하기 힘든 내용이 대부분이다.
먼저 금융사에 임원급 전임 CSO를 둔다는 것은 현실적으로 불가능하다. 금융사에서 임원 자리를 추가로 만들려면 이사회 등의 의사결정 기구를 거쳐야 한다. CSO를 임원이 아닌 본부장급으로 신설한다고 하더라도 직함에 걸맞은 조직원을 보유해야 한다. 단 몇 명을 보유한 임원이나 고위급 직책을 신설하기는 쉽지 않다. 이런 점 때문에 금감원도 CSO를 최고정보책임자(CIO)나 IT 부서장이 겸직해도 괜찮다고 명시했다. 현재 대부분의 금융사는 CIO나 IT 부서장이 CSO 역할을 겸직하고 있다. CSO라는 명칭을 사용하지 않을 뿐이다. 결국 액면 그대로 따르자면 실현하기 힘들고, 현실을 용인하자면 아무것도 아닌 정책이 되는 셈이다.
정보보호를 전담하는 적정 인력에 대한 권고사항도 문제다. 금감원은 전체 IT 인력의 5% 이상을 정보보호 전담 인력으로 확보해야 한다고 권고했다. 전체 IT 인력이 800여명인 국민은행을 예로 들면, 40여명의 정보보호 전담 인력을 보유해야 한다. 현재 국민은행의 정보보호 전담 인력은 20여명이다. 그나마 금융권에서 가장 많은 수다. 권고 기준에 따르면 IT 인력이 350∼400명 수준인 시중은행들은 약 20명의 정보보호 인력을 확보해야 한다. 하지만 대부분의 시중은행은 현재 10명 남짓한 정보보호 인력을 두고 있다. IT 인력조차 줄여야 하는 상황에서 특정 분야 인력을 대거 충원하는 것은 현실적으로 쉽지 않다. 금감원이 권고한 5% 이상의 정보보호 예산 투자 요건도 쉽지 않아 보인다. 시중은행의 연간 IT 예산은 적게는 1500억원에서 많게는 4000억원에 이른다. 따라서 정보보호 예산도 75억∼200억원 수준은 돼야 한다. 상당한 규모의 예산을 추가로 편성해야 맞출 수 있는 조항이다.
물론 이것은 금감원의 권고사항이지만 그렇다고 해서 ‘지킬 수 있으면 지키고, 힘들면 할 수 없고’ 식이라면 감독당국답지 않은 무책임한 발상이다. 특히 지금처럼 정보보호 체계 강화가 전 사회적 이슈로 부상하고, 실질적인 성과를 낼 수 있는 조치가 절실한 상황에서는 문제가 아닐 수 없다.
차라리 이번 기회에 금융사의 정보보호 역량을 제대로 강화할 수 있는 현실적인 정책을 다시 마련하면 어떨까. 예를 들어 현실 가능한 의무사항을 제시하고 이에 대한 감독 기능을 강화하는 것이 더 효과적이다. 형식적인 감독이 아닌, 보안 전문가를 통한 실질적인 감독 말이다. 또 금융보안연구원을 중심으로 각 금융사와 감독당국 간의 효율적인 커뮤니케이션 체계를 마련해 DDoS 공격 같은 정보보호 재난 발생 시 금융사가 공동으로 대처할 수 있게 대응체계를 마련하는 것도 시급하다. 지난 7월 DDoS 대란 때 정부의 컨트롤 타워 부재가 큰 문제였던 점을 생각하면 더더욱 절실한 대목이다.
신혜권기자 hkshin@etnews.co.kr