“얼마 전 보안 관련해 받은 설문조사 결과가 어떻게 나왔어요? 다들 최고정보책임자(CSO)를 두는 것에 대해 별 무리가 없대요?”
“네. 별 무리가 없는 것뿐만 아니라 모든 은행들이 현실적인 정책이라고 하던데요.”
“그럼, 다들 그렇게 CSO 직제를 도입했대요?”
이는 얼마전 기자에게 한 은행의 IT담당자로부터 전화가 걸려와 나눈 통화 내용이다. 이 IT담당자는 얼마 전 기자가 주요 10개 은행을 대상으로 금융감독원이 지난해 발표한 DDoS 공격 대응방안에 대해 어떻게 생각하냐고 묻는 설문조사를 두고 그 결과가 궁금해 전화한 것이다.
기자가 최근 설문조사를 실시한 결과 조사 은행 10개 중 9개 은행이 CSO 임명을 포함한 금감원 권고사항과 의무사항이 현실을 반영했다고 답했다. 단 1개 은행만이 ‘절반 정도’라고 답했다. 그리고 CSO를 임명하는 것에 대해 대부분의 은행은 유용한 정책이라고 답했다. 그외 나머지 모든 의무 및 권고사항도 정보보호 체계를 강화하는 데 유용할 뿐 아니라 현실적이라고 답했다. 그러나 아직도 CSO를 선임했다는 은행의 얘기는 듣지 못했다.
금융감독원의 의무 및 권고사항이 정보보호 체계를 강화하는 데 유용하다는 답변은 어느 정도 이해가 된다. 그러나 모든 사항이 현실적이라는 답변에 대해서는 이해가 잘 되지 않는다. 더욱이 기자가 은행을 취재하면서 정보보안 분야에 대한 추가 인력 투입이나 예산 증액은 어렵다며 어떻게 금감원 정책을 맞출 수 있을지 걱정된다고 토로하는 모습을 떠올리면 더 이해하기 어렵다.
그런데도 왜 설문에 응한 은행의 보안담당자들은 모든 질문에 ‘매우 만족한다’라고 답했을까. 실제 이번 설문은 처음 설문지를 배포할 때부터 쉽지 않았다. 대부분의 설문 응답자는 금감원 정책에 대해 이렇다 저렇다 답변하기를 매우 부담스러워 했다. 그래서 ‘우리 은행은 이번 설문에 빼주시면 안 되냐’는 말을 수도 없이 들었다.
기자는 이번 설문을 받으면서 두 가지 생각을 했다. ‘역시 감독당국의 힘은 세구나’하는 것과 ‘감독당국이 보다 현실적인 정책을 세우려면 아직 멀구나’ 하는 것이다. 물론 감독당국을 무시할 수는 없을 것이다. 그렇다고 해서 덮어놓고 ‘용비어천가’를 읊는 게 무슨 의미가 있을까. 아마도 이번 설문조사에 응한 담당자들은 솔직히 답하자니 부담스럽고 언론매체에서 진행하는 것이니 좋은게 좋다는 식으로 답을 한 것이 아닐까 싶다.
담당자의 마음은 충분히 이해가 된다. 그러나 은행들은 감독당국에게 보다 현실적인 정책을 마련해달라고 말할 수 있는 계기를 스스로 없애버렸다는 사실을 알아야 한다. 그리고 앞으로 현실적인 정책을 기대하기는 더욱 어려워질 수 있다는 점도 깨달아야 할 것이다. 정보보안은 거창한 투자와 정책만으로 지킬 수 있는 것은 아니다. 꾸준히 많은 관심과 지속적이고 현실적인 정책이 더 필요한 영역이다.
신혜권기자 hkshin@etnews.co.kr