금융당국이 금융서비스의 보안성을 강화하기 위해 금융사에 IT·정보보호 인력을 일정비율 이상 의무적으로 두도록 한 ‘5.5.7 규정’을 일부 완화하기로 했다. 현실을 감안한 규제 완화 조치라고 하지만, 이에 따른 역차별 논란도 제기됐다.
금융위원회(위원장 신제윤)는 금융지주사처럼 일반 금융사의 IT자회사 인력도 내부 인력으로 인정토록 범위를 확대하고 제3자 외주업체가 금융사에 상주하지 않아도 외주인력에 포함되도록 하는 등의 IT아웃소싱 규제 완화 방안을 확정, 연내 금융감독규정 개정을 추진한다고 27일 밝혔다.
5.5.7 규정은 2011년 말 전체 회사 인력 5%를 IT인력(내부+자회사+외주)으로, IT인력의 5%를 보안 인력으로, IT예산의 7%를 보안 예산으로 책정해야 한다고 명시한 전자금융감독규정이다.
코스콤, 저축은행중앙회 등 일괄위탁 운영을 맡은 제 3자 업체의 인력 역시 내부인력으로 포함시키기로 했다. 예를 들어 코스콤이 공동 시스템을 운영하는 경우, 증권사 등이 내는 운영비 비율에 맞춰 코스콤 인원 수를 나눠 증권사 내부 IT인력으로 간주하는 방안이 유력하다.
금융위 관계자는 “독점규제법에 따른 자회사의 인력을 내부 인력으로 추가 인정하고 반드시 금융사 전산실이 있는 건물에 상주하지 않아도 외주 인력으로 간주해 IT인력 5% 안에 포함하는 방안을 검토 중”이라고 말했다.
현행법상 외주 인력은 ‘전산실이 위치한 건물 내에 상주하는 사람’으로 제한돼 있다. 법상 외주 인력은 내부인력 수 만큼까지만 채용할 수 있는 상한선이 있기 때문에 결과적으로 내부·외주 인력 운용폭이 한층 넓어지게 된다. 이에 따라 5.5.7 규정에 부담을 느꼈던 중소형 금융사는 다소 숨통이 트일 전망이다.
일각에서는 이번 조치가 보안 강화 기조를 외치는 정부 방침과 상충되는 면이 있다고 지적했다. 외주인력을 통한 보안유출 사고가 잇따라 발생한 상황에서 사실상 외주인력 비율을 늘리는 게 타당하지 않다는 의견이다.
2011년 현대캐피탈 고객정보유출 사건에 이은 농협 전산망 마비, 지난 상반기 대형 카드사 고객정보 유출 사태가 외주인력 보안 관리 문제와 연관된다는 점에 비춰봐도 기업의 볼멘소리에 못이겨 거꾸로 가는 규제완화책을 내놨다는 비판이다.
시중은행과 제 2금융권은 이번 규제 완화조치에 대해 환영한다는 입장이다. 인력 투자비를 대폭 절감할 수 있기 때문이다. 한 은행권 고위 관계자는 “금융사가 아웃소싱 인력을 많이 채용하는 것은 인건비 문제가 가장 컸다”며 “정년을 보장해주는 내부인력 대신 외부 인력을 활용해 비용을 절감하는 곳이 상당수”라고 분위기를 전했다.
다만 이번 완화 조치로 외주인력 사후 관리를 보다 강화하는 후속 대책이 마련돼야한다는 지적도 잇따랐다.
증권사 관계자는 “IT자회사를 보유하고 있거나 외주 인력 상주에 대한 부담을 가졌던 금융사의 경우 반길 사안”이라면서도 “비상주 외주인력이 늘어나면 경계가 모호해지고 다시 업계 IT아웃소싱도 늘어나는 등 보안 사각지대가 발생할 수 있다”고 경고했다.
한 은행권 CISO는 “외주인력 규제 완화의 이면에는 이들 IT인력을 별도로 관리하고, 운영하는 새로운 숙제가 생긴 셈”이라며 “인력 비율 조정을 넘어 보안교육과 전문가 양성 등에 업계는 물론이고 정부가 투자를 강화해야 한다”고 설명했다.
<금융위 규제완화 조치로 인한 금융사 전체 인력의 5% 범위 포함 인력 변경>
유효정기자 hjyou@etnews.com