(서울=연합인포맥스) # IT 규제 융단폭격 시작= 최근 금융위원회의 대표적 탁상행정 사례 하나. 앞으로 모든 금융회사는 고객들로부터 주민등록번호를 받을 때는 핀(Pin, Personal identification number) 패드(Pad)를 통해 받게 될 것 같다. 핀 패드란 은행 창구에 가면 비치된 비밀번호 입력 장비다. 새 지침이 시행되면 모든 금융회사는 영업점에 핀 패드를 두거나 영업사원이 들고 다녀야 한다. 보험회사들에는 특히 날벼락이 아닐 수 없다. IT전문가들은 개인정보의 유출이, 입력단계가 아니라 정보가 집중되는 시스템에서 벌어지는 일이라는 측면을 간과한 물정 모르는 지침이라고 비판한다. 당분간 감독 당국이 여론에 잘 보이려는 반짝반짝한 규제 아이디어를 양산하면서 금융회사의 업무를 후퇴시킬 것이라는 걱정이 태산이다. 현재 시행되는 감독기관이 금융사에 요구하는 소위 '5-5-7룰'도 대표적 탁상 사례다. 전체직원의 5%는 IT 인력, IT 인력의 5%는 보안인력, IT 예산의 7%는 정보보호라는 항목으로 준수하는 것만으로 훌륭한 정보보안을 달성한다면 얼마나 좋겠는가. 당국이 금융사들에 획일적 지침을 양산하는 일만으로 책임을 다했다고 생각하고, 일이 터지면 금융회사 대표의 목만 자르는 무책임한 저승사자 노릇만 하는데 불만이 어느 때보다 높다.

# 낫 놓고 'ㄱ' 자도 모르는 기관장들= 지난 2012년 내부용으로 작성된 KB금융지주의 내부 문건인 '지속가능보고서'. 금융그룹이 지속 성장하려면 IT 보안에 핵심역량을 집중해야 한다고 적시해놨다. 사회적 책임이 동반되는 이 이슈를 다루고자 금융소비자보호헌장 제정, 개인정보 보호책임자 지정 등 세부방안도 꼼꼼히 열거했다. 하지만 그토록 강조했던 IT 보안은 계열 카드사의 사상 유례없는 대규모 정보 유출로 공염불이 돼버렸다. 왜 이렇게 됐을까. 무엇보다 금융지주의 회장, 은행장, 카드사 사장이 IT 분야의 비전문가 출신이라 정보 보호의 가치를 제대로 인식하고 이에 투자하는 생각이 부족한 때문이었다. 그룹 임원들은 회의에서 '랜섬웨어', '핵티비즘', '워터링 홀' 등 보안 관련 보고가 올라오면 진땀부터 흘린다. 비전문가 경영자들이 사안의 경중 완급을 판단하기를 기대하기란 어려운 일이다. 전 세계적으로 금융기관의 정의가 이미 '금융'이 아니라 'IT 전산' 회사로 바뀌었다는 점을 깨달아야 한다.

# 인력에 대한 보상과 관리= 지난 2011년 농협 전산망 사고 이후 복구시점에 많은 사람은 복구 작업이 농협 자체가 아니라 IBM에 전적으로 의존하던 모습에 경악했다. 이번 사태도 각 금융기관의 정보관리 및 보호가 단순한 비용이라는 시각에서 초래된 것이다. 여러 계열사의 정보 관련 부서를 통합하여 정보 자회사로 분사하고, IT업계와 유사한 척박한 임금을 주며, 필요하면 2차 외주도 불사한다. 또 영업이익을 위해 고객정보를 사용하려는 수익 지향적 사고, 무조건 많은 정보는 모아놓고 보자는 욕심, 정보 환경의 변화는 전례 없는 보안 위협을 잉태한다. 금융기관 최고경영자들이 정보를 보는 관점을 근본적으로 바꾸고 정보보호의 가치를 새롭게 인식하고, 변화된 전략과 조직에 걸맞은 투자를 과감히 집행해야 한다. 특히 IT와 보안 인력들에 충분한 보수와 자기계발 기회를 통해 전문가로 성장할 기회를 줘서, 창고에 가득한 현금 뭉치를 '돌'로 보는 진정한 보안전문 금융인으로 거듭나게 해야 한다.

그렇지 않고 이번에도 미봉책에만 머문다면 금융기관을 위기로 몰아가는 더 큰 비용은 지속적으로 치르게 될 것이다.

(취재본부장/이사)

tschoe@yna.co.kr

(끝)
저작권자 © 연합인포맥스 무단전재 및 재배포 금지