금융事故 주범, 기술 아닌 '사람'

금융사 39곳 보안책임자 설문…"내부통제 소홀" 41%

[아시아경제 김철현 기자] 해마다 반복되는 금융권 보안 사고를 막기 위해서는 금융회사 내 보안 관련 조직을 확충하고 지휘통제 시스템을 정비하는 일이 시급한 것으로 나타났다. '보안 기술'이 부족해서 사고가 발생하는 게 아니라 소홀한 내부통제와 보안인력 부족이 금융 정보기술(IT) 보안 사고의 가장 큰 원인이라는 분석이다. 금융당국의 금융보안정책에 대해서는 '적절히 시행되고 있다'는 긍정적인 응답이 많았지만 '금융회사의 실정을 감안해야 한다'는 목소리도 만만치 않았다.

21일 아시아경제신문이 은행, 카드, 보험 등 국내 39개 금융사 최고보안책임자(CISO)들을 대상으로 진행한 설문조사에 따르면 금융회사 보안 사고의 가장 큰 원인을 묻는 질문에 최고보안책임자 10명 가운데 4명(41%)이 '내부통제 소홀'이라고 답했다. 이어 침해사고 대응역량 미흡(33%), 경영자의 보안의식 결여(13%) 순으로 나타났다. 이는 지휘통제 부족과 사고 발생 시 대응해야 할 매뉴얼 부재가 금융보안사고로 이어진다는 의미다. 반면 그동안 금융 보안 사고가 터질 때마다 주요 원인으로 거론돼왔던 '시스템 문제' 등 기술적인 분야를 지적한 CISO는 소수(8%)에 불과했다.

또 각 금융사에서 향후 보안위협을 고려해 우선적으로 대비해야 할 사항(복수응답 가능)으로는 응답자의 절반이 넘는 54%가 '정보보호 조직 확충을 통한 업무효율성 제고가 필요하다'고 꼽았다. 이어 '정보보호 예산 및 IT 보안시설 인프라 확충'(41%), '내부통제 강화'(39%) 등을 선택한 응답자도 많았다.

금융권 관계자는 "각종 보안 조치에도 불구하고 사고가 발생하는 원인은 선제적 대응이 쉽지 않기 때문"이라면서 "금전적 이득을 노리는 해커들과의 창과 방패 대결에서 이기기 위해서는 결국 전담 조직 강화가 해법"이라고 말했다.

이번 설문조사는 내달 8일 본지와 금융보안포럼이 공동 주최하는 제3회 금융IT포럼을 앞두고 금융권 IT보안 현황과 전망을 파악하기 위해 진행됐으며 은행 15곳, 보험사 16곳, 카드사 8곳의 금융회사 CISO들이 참여했다.

김철현 기자 kch@asiae.co.kr