[금융사태, 덮기만하면 또 터진다]<중>탁상 대책으론 사태확산 못 막는다

 18일 금융위원장·금융감독위원장과 5대 금융지주 회장 간 간담회가 열린 지 4시간 가까이가 흐른 뒤 금융위는 “금융회사 스스로의 금융전산 보안 강화를 위한 철저한 점검 및 대책 마련이 중요하다는 점에 인식을 공유했다”는 논의 결과를 짧게 발표했다.

 현대캐피탈 개인정보 유출에 이은 농협 전산망 마비가 1주일이 지난 상황에서 나온 정부 대책으로는 쉽게 받아들여지지 않을 정도였다. ‘내 결제계좌는 문제가 없는지’ ‘내 카드 결제에 또 다른 결제가 더해지지는 않았는지’ 두려워하는 국민의 의구심을 풀어주기에는 터무니없었다.

 이렇듯, 어렵사리 만들어진 이날 만남도 해결책 도출 없이 ‘형식’으로 끝났다. 몇 년째 사고가 터질 때마다 ‘대책회의’는 되풀이되고 있지만 결정적 해결은 되지 않는 이유가 뭘까. 접근 자체가 원인과 닿아 있지 않았기 때문이다.

 금융업권별 전체 실적 중 IT 투자예산 및 보안 조치 규모는 여전히 권고사항을 밑돈다. 법으로 규정해도 따를까 말까 한 판에, 정부는 ‘권고’에 머물러 있다.

 실제로 지난해 주요 금융업권별 평균 IT 예산 중 IT 보안예산은 은행 3.4%, 증권 3.1%, 카드 3.6%, 생보 2.7%, 손보 2.7%에 그쳤다. 당연히 금융당국이 정한 IT 보안예산 권고치 5%에는 못 미치는 것이지만, 실정법 위반은 아니다. 이런 사이 사고가 터지면 항상 피해를 보는 것은 일반 금융소비자다.

 전문가들은 더 큰 문제가 이면에 도사리고 있다고 강조한다. 전체 IT 예산 규모를 줄이면 동결됐던 보안예산도 5% 비율을 훌쩍 넘을 수 있기 때문이다.

 한 금융IT 전문가는 “일명 보안예산 5%는 IT 총예산만 줄이면 5% 달성이 훨씬 용이해지는 등 근본적인 대책이 될 수는 없다”며 “좀 더 체계적이고 그리고 상시 모니터링할 수 있는 체계가 마련돼야 한다”고 강조했다.

 감독당국의 ‘안이한’ 시각은 금융기관 내부까지 연결된다. 감독당국은 보안은 (금융기관)IT본부에서 책임지면 끝난다는 생각에 젖어 있다. 특히 보안에 대한 투자가 단순히 비용이라는 인식이 팽배하다.

 시중은행의 한 IT본부 담당자는 “당장 비상경영체제로 돌아서면 제일 먼저 줄이려는 것이 IT예산”이라며 “아직도 금융권 상당수는 IT에 대한 투자를 소모성 경비로 보고 있다”고 안타까워했다.

 현대캐피탈과 농협 사태로 인한 파장은 일파만파일 수밖에 없다. 최근 주요 지주사에서는 해외시장 개척에 박차를 가하고 있다. 이들 지주사는 특히 우리나라의 앞선 IT 기반 금융시스템을 적극 활용해 동남아시아를 중심으로 시장개척에 매진하고 있는 실정이다. 우리가 강점이라고 생각한 부분에서의 사고가 미칠 파장은 클 수밖에 없다. 일거에 해외에서 사업을 접어야 하는 상황까지 치달을 수 있는 것이다. 이를 위해서는 내부 고위 임원진에서의 인식전환과 함께 인력을 기본으로 한 투자가 뒷받침돼야 한다.

 우선 IT 보안·시스템에 투자를 금융기관 정기 경영평가에 정확히 반영할 수 있는 툴과 지표를 공표해야 한다. 그래야 일선 금융기관은 그것에 따라 투자와 계획을 세울 수 있다.

 이진호·김준배기자 jholee@etnews.co.kr