[보안포럼]기술자와 보안관, IT협업으로 최강 방패를

김창희 안철수연구소 서비스기획팀 차장이 3일 아시아경제신문과 금융보안포럼이 공동 주최한 '금융 정보기술(IT) 포럼'에서 해킹 사례를 직접 시연하고 있다.

[아시아경제 이지은 기자]"IT 사고가 터져도 책임지는 CEO가 없다."

김석동 금융위원장의 이같은 지적처럼 국내 금융회사 CEO의 보안에 대한 관심은 최근까지도 미미했다. 하지만 최근 각종 IT보안 사고에서 보듯이 해킹기술의 발달로 금융IT 보안 리스크가 금융회사의 핵심 리스크의 하나로 자리잡았다. 이제 금융권에서 IT보안은 생존을 담보하는 필수 불가결한 요소가 되고 있는 것. 감독당국이 금융보안 감독 범위를 기존 기술 위주에서 경영ㆍ인력 부문으로 넓힌 것도 조직적 차원에서의 대책이 필요하다는 인식에서다.

이같은 맥락에서, '제1회 아시아경제 금융IT포럼'은 3일 새롭게 진화된 금융보안 정책 및 감독방향을 주요 이슈로서 살펴볼 예정이다.

◆새 감독체계 키워드는 'CEO'와 '조직' = 최한묵 금융감독원 IT감독국장은 이날 주제발표를 통해 '전자금융 감독규정 개정안' 내용에 대해 설명한다.

당국이 금융보안 강화를 위해 지난달 마련한 이 개정안은 CEO가 연간 IT계획을 직접 승인하고, 금융회사마다 정보보호 최고책임자(CISO)를 지정하는 것을 골자로 하고 있다. 보안사고가 빈발하는 것이 IT보안에 대한 CEO의 저조한 관심 때문이라는 인식에서다. 대부분의 금융회사에서 IT 기술만을 담당하는 최고정보책임자(CIO)가 CISO를 겸직하는 것도 문제로 파악됐다.

또 IT보안 예산은 전체 IT예산 대비 7% 이상 확보하고, IT인력은 총 임직원 수의 5% 이상, IT보안 인력은 IT인력의 5%이상 확보하도록 권고했다. IT보안 인력이 금융위 권고 기준에 못 미치는 업체들이 부지기수였기 때문이다. 외주업체에 대한 관리도 강화하도록 했다. 상주인원에 대한 신원조회를 실시하고, 외부에 업무를 위탁할 경우 비핵심업무와 핵심업무를 구분해 위탁하도록 한 것.

이밖에도 해킹 피해 최소화를 위해 고객정보를 내부망에만 설치하고, 인터넷망과 내부 직원들의 업무망도 분리토록 했다. 여신금융협회, 보험회사 등 그동안 당국의 감시망에서 벗어나 있던 금융회사들의 금융보안 실태도 들여다보기로 했다.

최 국장은 "큰 사고는 항상 사소한 것들을 방치할 때 발생한다"며 "실효성 높은 정보보호 체계를 구축하기 위해서는 IT기술뿐만 아니라 인력, 예산 등 경영부문까지 감독대상에 포함시켜야 한다"고 말했다.

◆기존 법체계와 '조화' 있어야 = 하지만 새롭게 마련된 감독체계가 기존 법 체계와의 조화를 이뤄야 한다는 게 전문가들의 의견이다. 구태언 변호사(행복마루 법률사무소)는 '전자금융 관련 법률 현황과 주요 이슈'를 발표, 감독 규정과 기존 법률 사이의 모순점을 짚어줬다.

현재 개인정보와 관련해 금융회사의 의무를 규정하는 법률은 금융당국의 '전자금융 감독규정 개정안'외에도 신용정보법, 정보통신망법, 개인정보보호법 등 크게 3가지가 있다. 그런데 감독규정이 이들 법률과 세부안에서 맞지 않는 부분이 있어 일부 추가 개정이 필요하다는 것이다.

예를 들어 개정안 제12조(단말기 보호대책)에는 '비밀번호는 생년월일, 주민등록번호, 전화번호를 포함하지 않는 숫자와 영문자 및 특수문자 등을 혼합하여 8자리 이상으로 설정하고 분기별 1회 이상 변경할 것'으로 되어 있지만, 이는 '2종류 이상 10자리 혹은 3종류 이상 8자리'를 기준으로 하고 있는 정보통신망법상 방통위 고시와 불일치한다.

또 13조(전산자료 보호대책)에서도 '단말기에 이용자 정보 등 주요 정보를 보관할 때는 보관기간 및 관리 비밀번호 등을 정해 책임자의 승인을 받아야 한다'고 되어 있지만, 방통위 고시에서는 단말기에 개인정보를 보호할 때는 책임자 승인 뿐 아니라 암호화까지 하도록 규정하고 있다.

구 변호사는 "금융기관은 개인정보를 다수 보유하고 있는 대표적 기관으로서 개인정보보호법의 적용 대상이며, 전자금융거래 역시 정보통신망을 이용한 정보통신서비스로 정보통신망법의 적용 대상"이라며 "금융기관도 이들 법령의 적용 대상"이라고 말했다.

이지은 기자 leezn@