금융사는 금융감독원을 제일 무서워한다. 규제에 따라 실적이 확 달라지기 때문이다. 그래서 금감원 지시라면 사소한 것이라도 잘 새겨듣는다. ‘갑을관계’라는 말이 나올 정도다. 잘 안 듣는 분야가 있다. 정보기술(IT) 보안이다.
금감원이 지난 주 국회에 제출한 자료에 따르면 IT보안 예산을 전체 IT 예산의 5% 이상 편성하라는 금감원 권고를 14개 은행 중 4곳이 무시했다. 카드사는 더 했다. 7개 전업 카드사 중 4곳이었다. 권고를 따를지라도 제대로 집행하지 않는 은행과 카드사도 많다.
금융 IT보안과 관련해 금감원 말발이 안 서는 이유는 간단하다. 제재 규정이 없다. 말 그대로 ‘권고’다. 지키지 않는다고 쇠고랑 안 차고, 경찰 출동 안 한다. 또 다른 이유도 있다. 심각한 보안 사고가 발생해도 처벌은 ‘솜방망이’ 수준이다. 특히 최고 경영자(CEO)에게는 무척 관대하다.
금감원은 해킹 물의를 빚은 농협과 현대캐피탈에 기관경고, 정직, 감봉 등의 징계를 내렸다. 그런데 CEO에겐 약한 징계를 내리거나 아예 대상에서 뺐다. 반면에 IT 관련 임직원은 대부분 중징계였다. 아주 좋게 해석하면, IT금융 관련 의사결정의 모든 권한은 CEO가 아닌 해당 임원의 몫이라는 ‘유권해석’인 셈이다.
웬만하면 ‘권고’이고, 징계도 ‘하나마나’니 금융사가 금감원의 금융IT보안 감독을 두려워할 이유가 없다. 감사니, 일제점검이니 특별 대책 마련이니 금융사를 불러모아 법석을 떨어도 그렇다.
금감원은 요즘 영업정지 저축은행의 사전 인출 등 부실한 관리감독으로 인해 정치권과 여론의 뭇매를 맞는다. 명시적인 규제 대상과 분야도 제대로 감독하지 못하는 기관에게 ‘권고’ 대상까지 잘 살피라는 것은 어쩌면 무리한 요구인지 모른다.