지난달 7일 열린 국회 정무위원회 회의에서 신제윤 금융위원장과 최수현 금융감독원장은 ‘금융보안전담기구 설립’과 관련해 참석 위원들과 첨예한 공방을 이어갔다.
이날 김기준 의원(새정치민주연합) 등이 전담기구 설립에 문제를 제기하자, 금융위와 금감원은 감사원의 사이버안전 관리·감독실태 감사 결과를 수차례 언급했다. 회의록에는 전담기구 설립 추진이 감사원 지적이 있었기 때문에 필요했다는 내용이 여러차례 나온다.
당시 오갔던 대화록을 공개한다.
김기준 의원은 “금융위는 무슨 문제만 터지면 ‘기구를 신설한다’ ‘조직을 찢는다’ ‘붙인다’하면서 매우 무책임한 행위를 하는 것 같습니다. 개인정보 유출 사태와 관련해서 이 세 기구들이 무슨 책임을 지거나 문책을 받은 사실이 있습니까?”라고 지적했다.
이에 신제윤 금융위원장은 “문책사항이라기보다는 이게 감사원이 그동안 지적한 사항이고 보안의 중요성을 감안했을 때 지금 금결원이나 코스콤에서 부수업무 형태로 운영되고 있는 부분을 전문기구로 모으는 것이 더 효율적이라고 생각합니다”라고 답했다.
이어 김 의원이 “그동안 문제가 발생했거나 사고가 발생했거나 그러면 또 이해가 갑니다. 그렇지 않은데 왜 그런 일을 하는지에 대해서 참 의구심이 많아요”라고 하자, 신 위원장은 “업무의 중복이나 효율성이 있다면 한데로 몰아서 가는 것이 바람직하고, 이 부분이 또 금융위의 단독적인 것도 아니고 감사원의 지적사항이기도 하고, 회원으로 참여하고 있는 금융회사들도 중복 회비 이런 것도 줄일 수 있다”며 재차 설립 필요성에 대해 강조했다.
그렇다면 금융당국이 언급한 감사원의 의견은 무엇일까? 지난 4월 17일 감사원은 ‘금융권 정보보호 및 사이버안전 관리·감독 실태’ 감사결과를 발표했다. 요지는 사이버안전에 대한 금융당국의 검사·감독이 부실해 금융기관들의 보안 불감증이 심각하다는 것이었다. 그러면서 금융ISAC에 대한 비판적 입장을 밝혔다.
감사원은 “금융정보공유·분석센터와 금융보안연구원에서 사이버공격 대응훈련, 취약점 분석 등을 중복수행하는 등 기관 간 업무가 중복·혼재돼 있고, 사이버침해 정보를 서로 공유하지 않는 등 비효율을 초래했다”고 지적했고, 이것이 근간이 됐다.
감사원은 결론 부분에 “금융위원장에게 금융권 정보보호 담당기관별 역할·기능을 체계적이고 효율적으로 조정·정립하고, 사이버 침해사고에 효율적으로 대응할 수 있도록 기관 간 정보를 공유하는 방안을 마련토록 통보했다”고 명시했다. 또 “대상 금융회사는 금융ISAC에 의무적으로 연계해야 한다”는 지적도 덧붙였다.
이 같은 지적을 받아든 금융당국과 해당 기관의 해석은 상충된다.
금결원과 코스콤 노조는 “보안 기능을 효율적으로 구축하라는 감사원의 지적을, 금융당국이 향후 책임을 면피하기 위해 조직통합이라는 엉뚱한 대책을 내놓은 것”이라고 해석했다.
반면 금융당국은 “금융ISAC에서 금융회사 연계대상 191개 중 57개가 연계돼 있지 않고, 연계된 134개 중 76개는 해킹, 악성코드, 디도스 공격 등 전자적 침해에 대한 수집이나 분석을 제대로 하지 않은 것으로 드러났다”면서 “해당 기관이 직무유기를 한 것”이라고 지적했다.
앞서 2013년 1월 감사원이 금융보안연구원 대상으로 실시한 종합감사 결과에 대해서도 입장차가 확연하다. 금결원과 코스콤은 감사원이 금융ISAC과의 기능이 중복되지 않도록 금융보안연구기능을 강화하라고 한 것을 당국과 금보연이 감사원 의견을 무시하고 금융ISAC 기능을 통째로 금보연에 이관하려한다고 주장했다.
길재식기자 osolgil@etnews.com
-
길재식 기자기사 더보기