전문가 제언
현대캐피탈 해킹과 농협 전산망 마비 사태를 계기로 프로그램·서비스 개발에 집중했던 금융권 내 정보기술(IT) 포트폴리오를 보안시스템 강화와 인력 육성에 초점을 맞춰야 한다고 전문가들은 17일 지적했다.
임종인 고려대 금융보안대학원 교수는 “서버 관리를 외주에 맡기더라도 농협 본사에는 관리 능력을 갖춘 우수 요원을 확보했어야 했다.”면서 관리적 측면의 허점을 지적했다. 임 교수는 “앞으로 대책을 마련하면서 돈 들여 외국 장비를 들여놓을 생각을 할 텐데 장비만 들여오고 운영할 인력이 없다면 문제”라면서 보안 인력을 키워 내는 사회적 구조의 필요성을 강조했다.
한국은행 관계자도 컨트롤타워 성격의 금융 보안 전문가 육성이 시급하다고 지적했다. 성재모 금융보안연구원 정보보안본부장은 “일본 미쓰비시은행의 경우 3만~4만명의 직원 가운데 전산 개발 인력만 자체적으로 7000여명을 두고, 운영 인력을 별도로 300~400명을 확보하고 있어 장애가 발생해도 즉각 고칠 수 있다.”고 말했다.
임종인 교수는 금융 보안에서 권한과 책임을 갖춘 정부 기구를 만들어야 한다고 촉구했다.
정태명 성균관대 정보통신학부 교수는 “행정안전부, 방송통신위, 지식경제부, 국가정보원 등의 유관 부처는 서로 주도권 싸움만 하고 있다.”면서 정부 부처 내 컨트롤타워 부재를 지적했다. 그는 “디도스 사태 때 모든 금융회사에 대한 보안점검을 벌였어야 했다.”면서 “앞으로 금융감독원은 상시검사에서 IT 보안 관련 검사 항목을 확대해야 한다.”고 말했다.
박춘식 서울여대 정보보호학과 교수는 “정보 보호 부서는 힘들기 때문에 기피하는 경향이 있는데, 정부가 관심과 지원을 강화해야 한다.”면서 정보 보호를 강화하는 금융회사에 대해서는 정부가 세제 지원을 해주는 등의 인센티브를 제공해야 한다고 조언했다. 정보 보호 인력 채용 시 인건비 일부 지원 방안도 제시했다. 그는 “기업들은 IT 시스템 유지 비용을 내지 않고 있으며, 하청업체들은 개발할 때만 돈을 낸다.”면서 IT 비용을 단순한 비용 측면이 아니라 위험 관리 측면에서 봐야 한다고 강조했다. 유지 비용이 현실화돼야 인력에 대한 대우도 나아질 것이라는 얘기다.
정태명 교수는 “CEO들이 정보 보안의 중요성에 대해 인식하지 못하고 방관하다가 일이 터지고 있다.”면서 내부에서 문제가 발생하면 막을 수가 없는 만큼 내부 통제를 강화할 것을 주문했다.
이어 현대캐피탈의 경우는 ‘설마병’으로 봐야 한다면서 고객 정보를 모두 암호화해야 하는데 일부 소홀히 한 측면이 있고, 많은 기업들이 이런 식으로 정보가 유출당하는 사고를 낸다고 말했다. 정 교수는 현재 국회에 계류 중인 전자금융거래법 개정안이 빨리 처리돼 정보보안최고책임자(CISO)를 신설하는 것도 대안이 될 수 있다고 말했다.
김경두·오달란기자 golders@seoul.co.kr
2011-04-18 3면
