금감원의 ‘IT정보보안 모범규준’이란 금융권의 IT인력 비율과 IT인력 중 정보보안 인력 비율, IT예산중 정보보안 예산 비중을 각각 5% 이상, 5% 이상, 7% 이상으로 하는 ‘5·5·7룰’을 말한다.
1일 CEO경영 성과 평가 사이트인 ‘CEO스코어’가 밝힌 국내 주요 금융회사 38개를 대상으로 한 IT정보보안 인력과 예산 실태에 대해 정보공개 청구한 결과에 따르면, 금융권의 평균 IT인력 비중은 7%, IT인력 중 정보보안인력은 6.9%, IT예산 중 정보보안 예산은 8%로 금감원이 제시한 기준을 모두 넘겼다.
전북은행의 예를 들면 IT인력은 8.8%, 정보보안 인력은 5.2%, 정보보안 예산은 9.6%로 보안인력을 제외하고는 금융권 평균을 넘었으며, 농협은행 역시 인력비율이 5% 이상, 정보보안인력 12.7%, 예산비중도 10% 이상으로 나타났다. 이밖에 전산망 마비사태를 빚은 신한은행이 각각 5%, 8%, 10%, 제주은행 역시 9.2%, 7.3%, 10.6%로 양호한 비율을 보였으며 농협생명보험과 농협손해보험도 가이드라인을 충족시키거나 이를 웃도는 수준으로 보안관리를 강화하고 있는 것으로 알려졌다.
대부분의 금융권이 정부 권고안을 충족하고 있지만 잇따른 금융권의 보안에 대한 구멍(?)과 관련해 IT·보안 실태 파악은 물론 정부 규정 권고안인 ‘5·5·7룰’로는 부족하다며 ‘7·7·10’으로 높이는 방안이 필요하다는 목소리다.
실제 이와 관련해 금융위원회는 권고안을 높이는 방안을 검토하고 있는 것으로 알려지고 있다.
금감원 IT감독국에 관계자에 따르면 “현실적으로 금융권의 방어책을 알고 있는 해커들의 공격에 100% 대처하는 것이 어려운 실정으로 묘수가 없는 상태이다”면서 “금융권의 자체 방어기술 업그레이드가 대안이라면 대안일 것 같다”는 입장을 밝혔다.
한편 금감원은 지난달 27일부터 이달 9일까지 신한·농협·제주은행과 농협생명·농협손해보험 등 5개 기관에 대해 IT전문 검사역을 파견해 전산장애 사고검사를 실시하고 있으며 이달 중으로 전 금융권의 IT정보보안 관리 실태조사를 진행할 예정이다.
김민수기자 leo@domin.co.kr
