실시간
뉴스

금융IT

강력한 금융IT 강화정책…실효성 한계, 어떻게 극복할까

[디지털데일리 박기록기자] 전자금융부문의 안정성 강화를 위한 금융감독 당국의 정책적 의지가 다시 강하게 나타나고 있다.


앞서 지난 10일에는 금융회사의 IT보안에 대한 CEO의 책임을 강화하고 전자금융기반 시설에 해한 취약점 분석 평가를 의무화는 내용의  '전자금융거래법' 일부개정 법률안이 국무회의를 통과했다. 이 개정 법률안은 지난 제18대 국회에서 회기 만료로 자동 폐기된바 있어 이를 동일한 내용으로 재상정한 것이다.

 

이어 12일에는 '전자금융활성화'를 위한 전자금융감독규정 개정 내용을 밝혔다. 보험료, 통신비 등이 자동적으로 자기계좌에서 이체되도록 동의하는데 필요한 ‘추심이체 출금동의 방식 다양화’ 등이 주요 내용이다.

 

기존에는 추심이체 출금동의의 방식으로 서면 및 전자적 방식인 공인인증서를 이용한 전자서명만을 허용했지만 적절한 보안기준(부인방지, 위변조 방지 등)을 충족하는 경우 태블릿 PC의 화면에 하는 자필 전자서명(스타일러스 펜을 이용한 자필 서명 등)도 추심이체 출금동의 방식으로 인정한다는 것이다.


한편으론 이는 전자금융부문에 대한 ‘규제’(안정성 확보)와 ‘활성화’의 양면을 모두 고려해야하는 금융감독 당국의 고충이 드러나는 대목이다.
  
하지만 이처럼 전자금융부문에 대한 금융감독 당국의 의지와는 달리 금융권이 이를 실질적인 강제수단으로 받아들일 것인지는 사실상 별개의 문제다.

 

국무회의를 통과한 전자금융거래법 일부 개정안의 경우, 이미 국무회의에 상정되기 앞서 지난 6월 규제개혁위원회의 심사, 법제처 심사를 거치는 등 법안 시행에 앞서 충분한 사전 검토를 거쳤지만 금융권의 반발, 그리고 국회 논의과정에서 또 다시 변형될 가능성도 적지않다.

 

◆‘강력한 내용’? = 개정안에 따르면 앞으로 금융회사는 CEO가 연간 IT보안계획을 직접 승인하고 그 이행여부를 확인하고, 정보보호최고책임자(CISO) 지정을 의무화하며 IT보안인력 및 IT투자(전체 예산의 일정부분 이상을 보안예산으로 편성)를 확대하고, 또한 안정성 확보의무 위반에 따른 공익침해가 중대할 경우 영업정지 등도 가능하며, 해킹에 의한 고객 피해시 이를 금융회사가 손해배상 책임을 진다.

 

그러나 이는 1년전 ‘금융회사 IT보안강화 종합대책’에서 이미 자세하게 열거됐던 내용이다.

그리고 이 종합대책 발표이후 전자금융감독규정(2011.10)과 전자금융거래법 시행령(2012.5월 시행)등 후속 대책으로 이어졌다.

 

이 후속대책의 결과가 금융회사 전체 인력의 5%를 IT인력으로 확보하고, 또한 IT인력의 5%를 보안인력으로 편성하며, IT예산의 7%를 보안예산으로 확보하고, CISO제도에 따른 자격요건을 명시한 것이다. 전자금융강화를 위한 대책중 일부 내용들은 이미 시행에 들어간 상태다.

 

◆여전히 부담느끼는 금융권, 정책의 실효성이 문제 = 하지만 이같은 금융당국의 강력한 정책 드라이브에도 불구하고 이에 대해 금융권이 여전히 부담스럽다는 반응을 보이는 것은 역시 1년전과 비슷하다.


실제로 그런 과정에서 일부 정책들이 당초 취지에서 벗어나 변형이 왔다는 비판도 나왔다.  CISO제도가 대표적이다.


당초 지난해 6월 IT보안강화 종합대책이 발표됐을때만해도 금융회사의 보안 정책을 객관적으로 감시하고 조언할 수 있는 CISO는 외부인사 영입이 필요할 것으로 공감대가 형성됐다.내부 IT조직의 이해관계에 얽매이지 않아야하기 때문이다. 하지만 결과적으로 이는 이뤄지지 않았다. 결과적으로 용두사미가 된 것이다.


오히려 전산실 근무 경력 등 일정 요건만 채우면 CIO가 CISO를 겸직할 수 있다는 금융위의 유권해석에 따라 은행을 포함해 대부분의 주요 금융회사들은 현재 CIO가 CIOS를 겸직하고 있다.


또한 금융 당국은 IT아웃소싱의 과도한 확장을 막고 외주인력은 자체 IT인력의 50% 이하로 하도록 한다는 것도 현실적으로 금융권으로 강력하게 압박하게 하지는 못하고 있다는 평가를 받는다.

IT부문 외주인력을 50%이하로 줄이려면 그 대씬 자체 IT인력을 크게 늘려야 하는데 현실적으로 대형 은행의 경우 수백명을 증원해야하는 현실적 어려움을 호소하고 있다. 이 때문에 올해 연말까지 이를 충족시킬 수 없어 어쩔 수 없이 패널티를 감수하겠다는 금융회사도 속속 나타나고 있는 상황이다.

지난해 현대캐피탈 해킹사태, 농협 전산마비사태로 인해 강력한 전자금융보안 정책의 필요성은 인정되지만 이에 부합할 수 있는 보다 구체적인 실행방안이 요구되고 있다는 지적이다.

 

<박기록 기자>rock@ddaily.co.kr

디지털데일리 네이버 메인추가
x