금융전산 보안 제대로 작동할까…망분리·CISO 별도 지정 “비용 부담”

금융당국이 빈발하는 금융회사의 전산사고를 미연에 방지하기 위해 종합적인 대책을 내놓은 가운데 비용 등의 문제로 금융권 참여에 관심이 모아지고 있다. 또 당초 거론됐던 금융회사 최고경영자(CEO) 책임 강화 등의 규제안이 빠져 전산보안이 제대로 작동할 수 있을 지 의문이다.

금융위원회는 △금융전산 보안 컨트롤타워 설치 △내·외부 망분리 의무화 △CISO 겸직 금지 △금융권 공동 백업전용센터 등을 골자로 한 ‘금융전산 보안강화 종합대책’을 11일 발표했다.

우선 금융권의 공감대가 형성된 망분리 의무화는 비용 등의 문제로 시간이 소요될 것으로 보인다. 이병래 금융서비스국장은 “망분리에 금융기관이 감당하지 못할 정도의 비용이 들지 않는다”며“전산센터의 경우 10억~40억원의 비용이 들고 본점·영업점의 경우 금융기관 직원수 등에 규모에 따라 비용 편차가 심하다”라고 말했다.

금융위는 오는 2014년 말까지 금융사의 전산센터 망분리를 완료하고 본점·영업점은 일정 규모 이상(총자산 2조·임직원수 300명 이상)의 금융회사(84개)에 한해 단계적 망분리를 추진한다.

금융위에 따르면 17개 은행 가운데 현재 망분리가 완료된 곳은 전산센터 10곳, 본점 1곳, 영업점 4곳이다.

금융위가 물리적 망분리와 논리적 망분리를 선택할 수 있게 한 만큼 금융사들이 보안성이 떨어지는 논리적 망분리를 선택할 수 있다는 지적도 나온다.

금융위 관계자는 “당장의 비용만 놓고 보면 물리적 망분리가 비용이 더 많이 든다”며 “하지만 논리적 망분리의 유지·관리 비용 등을 고려하면 장기적 관점에선 비슷한 비용이 들어간다”고 설명했다.

물리적 망분리는 업무용과 인터넷용 등 2대의 PC를 사용하는 것이며 논리적 망분리는 PC 1대를 SW(소프트웨어)적으로 분리해 업무용과 인터넷용으로 구분하는 것을 말한다.

유명무실한 제도로 줄곧 지적을 받아온 CISO 제도는 CIO(최고정보책임자)와 CISO(최고정보보호책임자) 겸직 전면 금지가 법제화된다. 하지만 CISO 임기 보장(최대 3년 이내)은 모범규준에 그쳐 해당 금융회사가 이를 지키지 않아도 마땅히 제재할 수 없어 CISO의 업무 연속성을 담보할 수 없다는 지적이다.

CISO 겸직 금지 역시 금융권이 얼마나 따라줄 지 의문이다. 별도로 임원급 CISO를 지정해 조직을 만들어야 하는 부담이 크다는 것. 금융권 한 관계자는 “CIO는 업무의 중요도와 볼륨이 모두 크지만, CISO의 경우 중요도는 높은 반면 업무 볼륨이 작다”며 “따로 임원급 자리를 만들어 임원을 별도로 지정하기 애로가 있다”고 말했다.

금융위는 지난 2011년 4월 NH농협 전산망 해킹 사태 이후 전자금융거래법을 개정, 금융기관이 CIO 이외에 CISO를 두도록 했다. 총자산 2조 원 이상이면서 종업원 수 300명 이상인 금융회사는 임원급 CISO를 선임해야 한다.

현재 대부분의 금융기관이 CIO와 CISO를 겸임하고 있고 특히 시중은행의 경우 신한·NH농협·외환은행을 제외한 거의 모든 은행이 CIO와 CISO를 겸하고 있다. 몇 가지 강력한 제재안이 빠진 것도 아쉬운 부분이다. 금융당국은 당초 실무자에 그쳤던 금융사 전산사고 피해 책임을 CEO에까지 엄중히 묻는 방안을 검토했지만 제외됐다.

금융위는 동일 취약점을 이용한 해킹 등 전산사고가 지속해서 발생하는 것을 차단하고자 CEO 책임 하에 취약점 점검 및 보완조치 이행을 철저히 하는 등의 감독규정을 마련한다.

금융위 관계자는 “IT 부문 관련 CEO 제재의 구체적 절차와 내용은 추후 검토가 필요한 사항”이라며 “하지만 전산사고에 대한 CEO 책임 부분은 매년 IT 부문 계획을 제출할 시 CEO 서명을 의무화하고, 전산사고 발생에 직접적인 책임이 없는 감독자 입장이더라도 CEO의 중징계를 경감하지 않기로 이미 법제화돼 있다”고 설명했다.

전자금융거래법에 따르면 ‘대통령령이 정하는 금융회사 등은 전자금융업무 및 그 기반이 되는 정보기술 부문에 대한 계획을 매년 수립해 대표자의 확인·서명을 받아 금융위원회에 제출해야 한다’고 명시하고 있다. CEO가 직접 IT 계획을 챙기도록 해 책임을 강화한 것이다.

지난 2011년 마련된 ‘5·5·7’ 전자금융거래법 감독규정도 현행대로 유지된다. ‘5·5·7’ 감독규정은 전체 직원의 5% IT인력 채용, IT 인력의 5% 보안인력 채용, IT 예산의 7% 정보보호 예산 편성 등을 골자로 한다.

이병래 금융서비스국장은 “5%룰은 이번에 특별히 변경하지 않는다”며 “지난달 25일부터 금융회사의 정보처리 및 전산설비 제3자 위탁이 시작돼 이런 방식으로 외부 위탁을 할 경우 5%룰을 어떻게 적용할 지 실무적인 검토를 진행하고 있다”고 말했다.