# 낫 놓고 'ㄱ' 자도 모르는 기관장들= 지난 2012년 내부용으로 작성된 KB금융지주의 내부 문건인 '지속가능보고서'. 금융그룹이 지속 성장하려면 IT 보안에 핵심역량을 집중해야 한다고 적시해놨다. 사회적 책임이 동반되는 이 이슈를 다루고자 금융소비자보호헌장 제정, 개인정보 보호책임자 지정 등 세부방안도 꼼꼼히 열거했다. 하지만 그토록 강조했던 IT 보안은 계열 카드사의 사상 유례없는 대규모 정보 유출로 공염불이 돼버렸다. 왜 이렇게 됐을까. 무엇보다 금융지주의 회장, 은행장, 카드사 사장이 IT 분야의 비전문가 출신이라 정보 보호의 가치를 제대로 인식하고 이에 투자하는 생각이 부족한 때문이었다. 그룹 임원들은 회의에서 '랜섬웨어', '핵티비즘', '워터링 홀' 등 보안 관련 보고가 올라오면 진땀부터 흘린다. 비전문가 경영자들이 사안의 경중 완급을 판단하기를 기대하기란 어려운 일이다. 전 세계적으로 금융기관의 정의가 이미 '금융'이 아니라 'IT 전산' 회사로 바뀌었다는 점을 깨달아야 한다.
# 인력에 대한 보상과 관리= 지난 2011년 농협 전산망 사고 이후 복구시점에 많은 사람은 복구 작업이 농협 자체가 아니라 IBM에 전적으로 의존하던 모습에 경악했다. 이번 사태도 각 금융기관의 정보관리 및 보호가 단순한 비용이라는 시각에서 초래된 것이다. 여러 계열사의 정보 관련 부서를 통합하여 정보 자회사로 분사하고, IT업계와 유사한 척박한 임금을 주며, 필요하면 2차 외주도 불사한다. 또 영업이익을 위해 고객정보를 사용하려는 수익 지향적 사고, 무조건 많은 정보는 모아놓고 보자는 욕심, 정보 환경의 변화는 전례 없는 보안 위협을 잉태한다. 금융기관 최고경영자들이 정보를 보는 관점을 근본적으로 바꾸고 정보보호의 가치를 새롭게 인식하고, 변화된 전략과 조직에 걸맞은 투자를 과감히 집행해야 한다. 특히 IT와 보안 인력들에 충분한 보수와 자기계발 기회를 통해 전문가로 성장할 기회를 줘서, 창고에 가득한 현금 뭉치를 '돌'로 보는 진정한 보안전문 금융인으로 거듭나게 해야 한다.
그렇지 않고 이번에도 미봉책에만 머문다면 금융기관을 위기로 몰아가는 더 큰 비용은 지속적으로 치르게 될 것이다.
(취재본부장/이사)
tschoe@yna.co.kr
(끝)