금융사 90곳 불러 3년전 보안대책 재탕

역대 최대 규모 카드사 고객정보 유출 사건으로 금융권에 비상이 걸린 가운데 개인정보 보호를 위한 근본적인 방지 대책이 필요하다는 목소리가 커지고 있다.
금융감독원은 13일 전 업권 금융회사 정보보호 책임 담당자들을 소집해 긴급회의를 열었다.
하지만 이날 회의는 금감원이 3년 전에 발표했던 'IT 보안대책'을 다시 통보하는 데 그쳤다. 금융사 개인정보보호책임자(CPO) 및 정보보호최고책임자(CISO) 90여 명이 모인 가운데 최종구 금감원 수석부원장은 "고객정보 유출 사고에 대해 엄정 조치할 방침"이라며 △내부 통제 절차 강화 △외주 용역 직원 관리 강화 △정보기술부문 보안 대책 강화 등을 주문했다. 3년 전 현대캐피탈과 농협 전산 사고에 대한 후속 대책으로 금감원이 발표한 'IT 보안 강화 종합대책'과 사실상 같은 내용이다.
회의는 김영린 부원장보가 후속 대책에 대해 발표한 후 별도 질문이나 토론 없이 20분 만에 종료됐다. 한 보험사 관계자는 "이미 다 규정에 나와 있는 내용"이라며 "별다른 뾰족한 대책이 없으니 일단 불러 모은 것 같다"고 말했다.

매년 금융권에서 고객정보 유출 사고가 발생했지만 후속 조치는 더디게 진행되고 있다. 이번 고객정보 유출은 전문 시스템 개발을 담당한 직원에 의해 수개월간 이뤄졌으나 내부 직원은 물론 금감원 검사에서도 적발되지 않았다.
류찬우 금감원 여신전문검사실장은 "검찰 수사 전까지 인지하지 못했다"며 "검찰 수사 사항이어서 다른 조치를 취할 수 없었다"고 말했다.
13일 시작된 현장 검사도 제대로 진행될 수 있을지 의문이다. 김윤진 IT감독국 부국장은 "고객정보를 유출한 당사자의 컴퓨터를 비롯한 검찰 수사 자료를 다 받지 못했다"며 "검사에서 얼마나 밝혀낼 수 있을지 지켜봐야 한다"고 말했다.
일회성 검사와 땜질 처방보다는 보안에 대한 근본적인 투자가 필요하다는 지적도 나온다. 금융회사로 하여금 자체 IT 인력을 5% 이상 확보하고 IT 예산 7% 이상을 정보보호에 투자하도록 지침을 내리고 있지만 여전히 한계가 있다는 지적이다. 김영기 금감원 여전감독국장은 "금융회사 보안에 대한 인식 자체가 아직 미흡하다"며 "보안 인력에 대한 투자를 늘리는 근본적인 조치가 필요하다"고 말했다.
금융위원회 역시 지난해 7월 금융전산 보안 강화 종합대책 발표 내용에서 금융전산시설 내부통제를 강화하겠다고 발표했다. 당시 금융위는 전산시스템 운영자들이 홈페이지 등 공개용 서버뿐만 아니라 모든 전산시스템 접근 시 추가 인증을 의무화하겠다고 발표했다. 이 부분에 대한 원칙만 제대로 지켜졌으면 이번 카드 정보 유출 같은 사고는 일어나지 않았을 것이라는 비판이 일고 있다.
[박용범 기자 / 배미정 기자]