금융 당국이 금융전산보안 종합대책을 마련, 다음 주 발표할 예정이다. 금융사 내부 업무망과 인터넷 망의 분리를 의무화한다. 정보 관리자가 정보보호최고책임자(CSO)를 겸직하는 것을 막고, 임기도 보장한다. 정보유출 사고 발생 시 최고경영자(CEO)도 중징계할 근거도 마련한다. 전자신문이 업계 전문가들과 함께 그간 줄기차게 문제로 지적하면서 제시한 대안들을 거의 다 담았다.
망 분리는 이미 예고됐다. 관련 솔루션 시장이 커질 것으로 예상돼 업계가 들썩인다. CEO 책임과 CSO제도 강화도 금융사 보안 강화에 큰 도움이 될 것이다. 그렇지만 이러한 대책도 이제 시작에 불과하다. 종합대책으로 보안 문제를 근본적으로 해결했다고 생각하면 착각이다.
망 분리는 악성코드나 해킹 공격으로부터 내부 정보를 보호하는 효과적인 수단임에 틀림없지만 완전무결한 해결책이 아니다. 분리 이후에도 만일의 사고 발생을 막거나 피해를 최소화할 투자를 지속적으로 해야 한다. 그런데 금융사 움직임을 보면 이렇게 할지 의문이다. 금융사 망 분리 사업도 적정한 설계보다 솔루션업체들을 향한 가격 대폭 인하 요구가 잇따른다.
내부 임직원 보안 태세 점검도 중요한 과제다. 외부 해킹 못지않게 내부 직원이 저지른 보안사고가 꽤 있다. 일부 외부 해킹은 안의 협조로 발생했다. 내부 보안이 엉망이라면 아무리 망을 분리하고 좋은 솔루션을 도입해도 소용이 없다. 금융사별로 보안 업무 매뉴얼과 교육을 강화하고 지속적으로 감시하는 체계를 갖춰야 한다.
금융 당국은 종합대책이 제대로 뿌리를 내리는지 지속적으로 점검해야 한다. 아울러 후속 법과 제도 정비도 준비해야 한다. 종합 대책도 사실 큰 골격만 제시할 뿐이다. 조금만 안으로 들어가도 관심사가 복잡하다. 업계 현실과 맞지 않아 고쳐야 할 규정도 있다. 아웃소싱, 프라이버시 등 새 보안 이슈도 떠올랐다. 전자금융거래법을 비롯한 각종 법률을 다시 들여다 봐야 할 것이다. 무엇보다 금융당국이 민간의 금융보안 전문가 의견을 수시로 청취하는 통로를 만들어야 한다. 보안 이슈를 선제적이고 능동적으로 제도에 반영할 좋은 도구다.