전북은행을 비롯한 대부분 금융권이 금융당국이 규정하고 있는 IT정보보안 모범규준을 준수하고 있지만, 최근 금융권 전산망을 마비시켰던 초유의 사이버 테러로 인해 정책 가이드라인만 믿고 의지하기에는 그 허술함이 있다는 지적이다.

전산망 마비사태를 겪은 신한은행과 농협, 제주은행 등의 경우 금융감독원의 가이드라인인 ‘5·5·7룰’을 적용하고 있지만 이를 준수하고도 사고가 발생했기 때문이다.

1일 도내 금융권 및 CEO경영 성과 평가 사이트인 CEO스코어에 따르면 금융권의 평균 IT인력 비중은 7%, IT인력 중 정보보안인력은 6.9%, IT예산 중 정보보안 예산은 8%로 금융감독원이 제시한 기준을 모두 넘긴 것으로 나타났다.

금융당국은 지난해 11월 전자금융감독규정 개정에 따른 정보보호 강화 시책으로 금융회사는 전체 직원 수 대비 5% 이상 자체 IT 인력을 확보하도록 하고 있다.

또 IT인력 중 정보보안인력을 5% 이상, IT 예산의 7% 이상을 정보보호에 투자하도록 권장하는 일명 ‘5.5.7’ 룰을 권고하고 있다.

전북은행의 경우 IT인력은 8.8%, 정보보안 인력 5.2%, IT 예산은 9.6%로 보안인력을 제외하고는 금융권 평균을 넘겼다.

또 농협은 IT인력 비율이 5% 이상, 정보보안인력 12.7%, 예산비중도 10% 이상이었으며, 신한은행도 각각 5%, 8%, 10%였다.

제주은행 역시 9.2%, 7.3%, 10.6%로 나타났다.

하지만 농협과 신한·제주은행 등 이들 금융사들이 금융당국이 권고하는 모범규준을 충족시켰음에도 불구하고 지난달 20일 전산망이 마비되는 사고를 겪음에 따라 ‘5.5.7’룰의 실효성에 대한 의문이 제기되고 있다.

모범규준을 지키고도 전산망 사고를 막지 못했다면 규제자체가 허술한 셈이고, ‘5.5.7’룰이 충분한 수준이라면 금융사들이 숫자를 부풀렸다고 볼 수밖에 없기 때문. 이에 일각에서는 ‘5·5·7’룰을 ‘7·7·10’ 등으로 높이는 방안 마련과 함께 IT인프라의 안정성 확보를 위해 ‘차세대전산시스템’ 도입 등 금융보안체계의 근본적인 재점검과 대책 마련이 시급하다는 지적이다.

도내 금융권 관계자는 “금융당국의 권고안을 맞추기 위해 전담 인력도 아니면서 IT나 보안 담당자인 것처럼 꾸며 보고하는 식으로 머릿수만 채워 놓는 경우도 많다”며 “일부 조항들은 현실성이 떨어져 금융사 IT역량을 강화한다기보다는 단순한 벌칙조항으로만 여겨져 실효성을 떨어뜨리기 때문에 더 현실적이고 세분화된 모범규준이 필요하다”고 말했다.

이어 “앞으로 유사한 해킹 사건이 재발할 경우 금전 유출이 없으리란 보장은 없어 이번 사건을 계기로 금융 IT보안 체계를 대폭 강화해야 한다”며 “이제는 금융권이 IT인프라의 안정성 확보를 위해 수백억, 수천억원을 기꺼이 지불할 수 있는 ‘차세대 보안전략’이 필요한 시점으로 보인다”고 덧붙였다.

한편 금감원은 이달부터 본격적으로 금융권에 대해 금융 IT·보안 실태를 점검해 이를 토대로 IT·보안 강화 종합대책을 마련, 제2의 해킹 사태를 사전에 예방할 계획이다.

/김대연기자 eodus@