[최한묵 금감원 IT감사국장 인터뷰]금감원,“ 금융 보안사고 예방위해
불시 점검도 추진”

캐피탈사 포함한 146곳으로 감사 확대 등 금융기관 관리·감독 한층 강화

금융감독원은 현대캐피탈, 농협 등 올해 들어 잇따라
발생한 불미스러운 금융보안 사고를 계기로 금융기
관들에 대한 관리· 감독 기능을 앞으로 한층 더 강
화한다고 밝혔다.

그 일환으로 사고 발생 직후인 지난 5월부터는 기존
의 IT감독실을 IT감독국으로 격상하고 조직인원도 기
존의 22명에서 33명으로 늘렸다. IT감독국의 국장으
로는 IT에 능통한 최한묵 전자공시팀 부국장을 선임
했다.

금감원은“그 동안 금융기관들의 건전성 관리· 감독
에 치중해온 나머지, IT인프라에 대한 부분은 크게 신
경을 못써왔던 게 사실”이라며“고객정보유출 등 IT
보안사고가 고객들의 금전적인 손해를 일으킬 뿐만
아니라 국민들의 불안감을 크게 조성하는 만큼 IT감
독국을 통해 철저히 금융기관을 관리· 감독함으로
써 금융 보안사고를 예방하고, 만일의 사고 발생 시
신속히 분석해 동일 사고의 재발을 막는다는 게 목
표”라고 전했다.

금융기관 평가 시 IT부문 2~3%→ 20% 반영

금감원은 금융기관들에 대한 관리·감독을 위해 1년
에 한 번, 검사 대상을 선정해 감사를 진행해왔다. 감
사 인력은 한정되어 있고 금융기관은 많다보니 금감
원이 관리·감독을 하는 380여개 금융기관들 가운데
여신과 수신 기능이 동시에 있는 대형 은행, 증권, 보
험사 120곳을 위주로 감사를 진행할 수밖에 없던 상
황이었다.

그렇다보니 돈을 맡기는 수신 기능이 없는 캐피탈사
들은 지난해까지 IT감사 대상에 속하지 않았다. 앞으로는 캐피탈사까지 포함해 자산규모 2조원 이상의
금융사 146곳으로 IT감사를 확대 시행하게 된다. 특
히, 기존처럼 예고를 해주고 감사를 진행하지 않고
필요하다면 특정 부분을 타깃한 세밀한 테마 검사이
나 불시 점검까지도 불사하겠다는 게 금감원의 입장
이다.

또한 금융기관의 건전성 즉, 경영실태평가 시 IT부분
이 과거 2~3%밖에 차지하지 않았으나, 내년부터
20%까지 비중이 커지게 된다. 최한묵 금융감독원 IT
감독국장은“얼핏 보기에 100점 만점에 20점이면
별거 아닌 것처럼 보일지 모르지만, IT는 IT대로 평
가를 해 IT평가에서 4등급을 받은 금융기관은 전체
등급을 3등급 이상 받지 못하게 된다”며“이제는 금
융산업에서 IT가 금융기관의 성장과 생존권을 잡고
있다고 해도 과언이 아닐 정도로 중요해졌기 때문에
평소 IT에 대한 투자와 관심을 기울이지 않는 금융사
들은 앞으로 회사 전체의 평가를 좋게 받긴 힘들게
된다”고 강조했다.

금감원은 현재 IT 문제로 인한 사고 발생 시 처벌 기
준을 구체화하고 있다. 그동안 포괄적인 경영상 문제
로 금융기관을 징계했는데, IT에 대한 제재 및 처벌
기준을 곧 구체화해 금융기관 CEO의 IT에 대한 책
임과 관심도를 높인다는 계획이다. 10만 건의 고객
정보가 유출된 곳과 100만 건의 고객 정보가 유출된
곳을 차별화해 제재를 하므로 금융기관들이 보안강
화를 위해 최선의 노력을 기울이게 되는 좋은 방안
이 될 것으로 예상된다.

IT 관련처벌기준구체화,‘ 보안을투자로인식해야’

금융보안 강화를 위해 올해 제도적인 손질이 대대적
으로 이뤄졌다. 대표적으로 전자금융감독규정 전면
개정안(10. 10)에서는 IT인력은 전체 직원의 5% 이
상, 정보보호인력은 IT인력의 5% 이상, 정보보호예
산은 7% 이상을 확보하도록 했으며 전자금융거래법
시행령 일부개정안(10. 28)에서는 총자산 규모 2조
원 이상이면서 종업원수가 300명 이상인 금융사에
정보보호최고책임자(CISO)를 임원으로 지정토록 의
무화 하고, 정보보호최고책임자의 자격요건까지 구
체화 했다.

보안 강화를 위해서는 결국 해당 인력을 뽑아 조직
을 만들고 예산을 투입해야 하므로 비용적인 부분을
무시할 수 없는 것만도 사실이다.
제도를 강화함으로써 금융기관들이 보안 투자를 할
수 있는 근거가 마련됐는데도‘무조건 못한다’고 볼
멘소리를 하는 금융사들도 현재 많음을 금감원은 꼬
집어 지적했다.

금감원에 따르면, IT를 통한 금융거래 서비스 비중이
은행은 80%를 넘었고 증권사도 거의 80%에 달하
며, 카드사의 경우 직접 대면거래를 하므로 전가거래
가 많지 않지만 POS를 통해 결제가 이뤄지므로 업
무에서 차지하는 IT의 비중 및 중요성이 무척 높다.
과거처럼 IT가 보조역할이 아닌 24시간 365일 금융
서비스를 위한 기초 수단이 됐고, 점포와 직원을 줄
이며 많은 이익을 실현했는데도 여전히 서비스를 지
탱하기 위한 보안은 투자가 아닌, 비용으로 여기고
있다는 것.

최한묵 IT감독국장은“보안을 더 이상 비용으로 보지
말고 투자로 인식해야 한다. 앞으로 고객정보유출 사
고와 같이 보안에 문제가 생기면 집단소송제 도입
등으로 천문학적인 돈을 배상할 수 있고 금융사가
졸지에 폐업을 할 수 있는 리스크도 있다”며“100억,
1,000억이 들어갈 수 있는 것을 보안만 잘한다면 10
억으로 막을 수 있다.

결국 지속적인 관심과 끊임없는 보안 투자만이 국민
의 재산을 지키고 장기적으로 국가 신뢰도까지 제고
할 수 있는 방안”이라고 강조했다.

출처 : 컴퓨터월드 12월호

제공 : DB포탈사이트 DBguide.net