현대캐피탈 해킹 사건으로 국내 금융회사 전반에 IT 보안시스템에 대한 불안감이 확산되고 있다. 유력 금융회사의 보안시스템 마저 뚫리는 현실에서 나머지 소규모 금융회사들이야 오죽하겠냐는 자조 섞인 목소리가 나온다. 막대한 예산을 투입하는 대형금융회사 조차 IT보안에 대한 완벽을 장담하긴 어렵다는 점이 더욱 큰 문제다.

▶도대체 얼마나 투자해야 하나=금융권에선 IT 관련 보안 및 고객정보보호 부문에 매년 막대한 규모의 투자가 요구되고 있지만 이를 만족시키기엔 현실적으로 한계가 있다는 반응이다.

자산규모가 18조원에 달하는 업계 1위 현대캐피탈 마저 IT보안에 맹점을 드러낸 이번 사건을 두고 IT 보안 부문 투자 적정규모가 도대체 얼마나 돼야 하는지에 대해서도 의구심을 표하고 있다. 책임을 져야할 현대캐피탈 마저 IT보안 부문에 관련된 예산을 공개하길 꺼리고 있는 게 현실이다.

금융당국 관계자는 “금융회사 건전성과 관련해서는 적정성을 확인할 수 있는 지표가 있어 부족할 경우 자금을 더 충당하라는 요구를 할 수 있지만 IT 보안 부문을 그렇지 못하다”며 “보안 부문에 투자를 하라고 권고하는 수준”이라고 말했다.

IT보안 관련 글로벌 기준(ISO27000)이 마련돼 있지만 국내 금융회사들이 이를 따라가기엔 벅차 보인다.

그나마 일부 대형은행지주사들의 경우 IT 관련 업무를 은행업무에서 계열 분리ㆍ특화시키고 있는 추세로, 고객정보보안과 같은 자사의 민감한 업무를 이들에 맡기는 형태로 운영 중이다.

하지만 규모가 작은 일부 증권ㆍ보험ㆍ여신전문회사들은 자체 부서에서 IT 관련 정책ㆍ전략 업무만을 담당하고 나머지 인력, 장비, 관리 부문은 아웃소싱으로 대체하고 있다. 일부에서는 보안 부문도 외주용역에 맡기는 경우가 있어 취약점으로 꼽히기도 한다.

한 시중은행 IT담당 부서장은 “나날이 진보하는 IT관련 범죄들을 금융회사 보안시스템이 따라 잡기는 사실상 불가능하다”며 “적게는 수십 억원, 많게는 수천억원에 달하는 IT시스템을 갖춘다 한들 단 한 번의 해킹이 보안시스템을 무력화시킬 수 있다는 가능성 때문에 투자도 주춤한 것이 실태”라고 말했다.

▶IT보안은 필수=금융당국은 검사 결과에 따라 제도에 미흡한 부분이 있다면 곧바로 제도를 보완에 착수할 방침이다. 만일 현대캐피탈의 보안 운영에 문제가 있을 경우 강력한 제재를 가할 계획이다. 하지만 이같은 결과에 앞서 IT보안에 대한 좀 더 확실한 인식이 필요하다는 게 당국은 물론 금융권의 시각이다.

지금까지 금융권에서 IT 보안 관련 사건들이 발생했지만 고객의 금전적 피해로 직결된 경우는 단 한 건도 없었다는 점이 CEO들로 하여금 IT보안 투자를 기피하게 만들었다는 의견도 제기되고 있다.

이같은 문제점은 앞서 국회에서도 지적돼 개선이 요구된 바 있다. 이성헌 한나라당 의원은 금융기관의 정보보호최고책임자(CISO) 지정을 의무화하는 전자금융거래법 개정안을 발의하기도 했다. 이 의원에 따르면 국내 금융기관별 IT 예산 대비 정보보호 예산은 지난해 기준 3%를 조금 넘는 수준에 불과하고 정보보안담당 인력도 전체 금융권의 인력의 5%에도 미치지 않는 것으로 나타났다.

<박정민 기자@wbohe> bohe@heraldcorp.com