“CISO요? 우리 기관은 그런 것 없는데요.”
수조원의 중소기업 지원 자금을 담당하는 한 금융공기관의 답변이다.
본지가 금융공기관의 정보보호최고책임자(CISO) 실태 취재를 하기 위해 해당 기관에 CISO 정보를 요구하자, 이 같은 답변을 공보팀에서 내놓았다. CISO 도입이 의무사항이라고 말하자, 그때서야 알아본 후 연락 주겠다며 회신을 해왔다. 금융공기관의 보안 의식과 실태를 적나라하게 보여주는 사례다.
조사 대상이 된 상당수 금융공기관은 CISO제도가 무엇인지, CISO를 선임했는지 여부조차 모르는 곳이 절반을 넘었다. 각종 정보 유출로 금융사의 신뢰가 추락하고 있지만, 이들 금융공기관들은 다른 나라 이야기쯤으로 생각하는 듯했다.
유수의 금융공기관의 보안관리 체계가 민간 금융사보다 허술한 것은 향후 큰 문제가 될 수 있다. 이들 기관 중에는 금융사들의 고객정보가 집중되는 곳도 있고, 기업금융을 지원하는 플랫폼 운영기관도 다수다. 해킹사고 등이 발생할 경우 ‘사회기간망’이 마비되는 사태로 비화될 수 있다는 지적이다.
시중은행의 보안사고는 개인고객 대상의 자금 사고로 이어지지만, 이들 금융공기관은 기업 간 거래(B2B) 형태여서 경제 전반으로 확산되는 2, 3차 피해가 발생될 수밖에 없는 구조다.
더 큰 문제는 관리감독의 사각지대에 놓여 있다는 점이다. 금융당국은 이들 공기관을 대상으로 실태 조사를 한 번도 벌인 적이 없는 것으로 확인됐다.
상황이 이렇다보니 CISO자리를 편법으로 운영하는 곳도 있었다. 보안 전문성이 전무한 내부 인력을 승진용으로 CISO자리를 내어주거나, 최고경영자(CEO) 직속라인에 속하는 인사나 기획부서 인력을 끼워 넣어 종속 관계로 만들어버리는 경우다.
정책금융공사와 수출입은행, 보증기금사 등이 대표적인 사례다.
염흥렬 순천향대 정보보호학과 교수는 “현재 해커의 타깃은 민간 금융사지만, 보안수준이 갈수록 강화되자 정부자산을 다루는 공기관으로 타깃이 이동될 가능성이 있다”며 “정부 자산을 다루는 공기관의 보안 의식이 상대적으로 민간 금융사에 비해 낮은 건 사실”이라고 말했다.
공격 대상이던 민간금융사가 보안을 강화하자 그 풍선효과로 정부 자산을 다루는 공적 기관이 새 공격 대상이 된다는 얘기다.
익명을 요구한 한 은행 CISO는 “실제 금융공기관의 보안사고가 외부로 알려지지 않아서 그렇지 해커에게 공격을 받아 피해를 입은 사례가 꽤 있다”며 “갈수록 풍선효과가 커져 앞으로 해커의 표적은 막대한 정부 자금을 운영하는 금융 공기관이 될 것”이라고 분위기를 전했다.
전문가들은 금융공기관 스스로 정부자산에 대한 책임감을 갖고 보안의식을 높여야한다고 지적한다. 보안강화 대책 마련과 운영 주체 등을 따로국밥처럼 운영할 것이 아니라 종합적으로 관장할 수 있어야한다는 설명이다.
염 교수는 “CIO와 CISO를 기관 성격에 맞게 분리하고, 기관별로 별도의 정보보호정책을 수립해 운영하는 것이 바람직하다”고 제언했다.
[표] 주요 금융공기관 CISO 운영 현황
(자료: 각 사 취합)
![[해설]금융보안도 `풍선효과` 현상...해커, 민간금융에서 공기관으로 표적 `이동`](https://img.etnews.com/photonews/1406/574689_20140618200027_279_T0001_550.png)
길재식기자 osolgil@etnews.com, 유효정기자 hjyou@etnews.com
