 |
[디지털데일리 박기록기자] SGI서울보증의 랜섬웨어, 롯데카드에 이어 최근에는 쿠팡에서도 대형 해킹 사고가 발생했다.
업종을 불문하고 급격한 디지털화로 인한 전산시스템의 불안정성, 해킹 등 사이버 위험의 노출 등 역습이 본격화되고 있다.
특히 금융산업은 지난 5~6년간 디지털전환(DX)에 따른 혁신의 성과를 톡톡히 누려왔지만 그 이면에는 'IT 보안' 리스크 또한 급격하게 커지고 있다.
고객의 재산을 다루는 만큼 금융회사의 보안 사고 또는 심각한 전산 장애는 더욱 민감하게 받아들여야한다. 고객 피해 뿐만 아니라 금융회사의 평판 추락과 재무적 타격을 입히기때문이다.
이런 가운데 금융회사의 IT 보안 리스크에 대한 관리감독의 책임이 있는 금융 당국의 정책 기조에도 비판의 목소리가 커지고 있다.
◆"사고나면 징계하겠다"는 엄포만 남은 금융권 'IT 자율보안' 기조
- "사고만 안나면 장땡" 소극적 대응 일관, IT보안 투자 더욱 취약해져
지난 2010년대 중반 이후, 금융 당국은 금융권의 IT보안 관리감독 정책을 '자율보안' 기조로 전환했다.
당시 이같은 '자율보안' 기조로의 전환 취지는 금융권으로부터 많은 공감을 얻었다. 당시 금융 당국의 체크리스트에 따른 IT보안 관리 감독은 너무 방대해진 IT 및 디지털 인프라의 확산 속도를 따라가지 못했다. 따라서 금융회사 스스로 IT보안에 능동적으로 대처하기위해서는 자율보안 기조로의 전환이 필요했다.
동시에 이는 금융회사 IT운영에 대한 금융 당국의 과도한 사전 간섭을 최소화하되 사고 발생시에는 보다 엄중한 책임을 묻는 기조로의 전환도 의미한다. 사후적으로 금융회사 경영진에 대한 책임을 크게 강화함으로써 자발적으로 사고 예방 효과를 거두겠다는 의도였다.
특히 2020년 코로나19 펜디믹 이후, 금융권이 비대면 디지털금융 기조가 강화되면서 ‘자율 보안’ 기조도 더욱 확대됐다.
그러나 최근 발생하고 있는 금융권의 크고 작은 IT보안 사고로 인해, 그같은 정책 방향이 결과적으로 과연 올바른 전략이었는지에 대한 의문이 제기되고 있다.
시간이 흐르다보니 금융 당국이 IT보안 사고 금융회사에 대한 처벌만 강화하는 식으로 흘러가버렸다는 지적이다.
또한 금융회사들도 IT 보안 사고로 인한 중징계를 피하기위해, 은행 등 대형사를 제외하곤 아예 혁신적이고 과감한 신규 기술에 대한 투자보다는 보수적인 기조로 IT전략을 일관하는 사례가 적지 않다는 것이다.
금융 당국의 채찍을 피하기위해 소위 "사고만 안나면 장땡"이라는 식의 소극적 대응이 하향 평준화로 흘렀다는 분석이다.
그 결과 금융회사들간의 IT 혁신 격차가 벌어졌고 IT 보안 투자여력이 없는 중소형사들의 IT보안 위험이 더 커지는 결과를 낳았다는 것이 금융권 IT 현장에서 들리는 목소리다.
결국 처벌 일변도인 금융 당국의 금융 IT '자율보안' 정책 기조에 보완이 불가피하다는 주문이다.
금융권 IT보안 사고가 지속적으로 발생하고 있지만 여전히 금융 당국의 '처벌 강화' 스탠스가 바뀐 것은 없다.
실제로 지난 7월말, 금융위원회가 SGI서울보증 사고 등에 따른 ‘금융권·금융 공공기관 침해사고 대비태세 점검회의’를 개최하면서 내놓은 개인침해사고의 대책은 “금융사 내 보안사고가 발생할 시 징벌적 과징금을 부과하는 방안을 검토하겠다”는 것이 주요 골자였다.
그리고 지난 9월 금융위원회가 롯데카드 정보유출과 관련해 관계기관, 전문가 등과 함께 구체적인 유출상황을 공유하고 이에 대한 대응방안에서도 주요 대응중 하나는 '금융보안·정보보호 미흡사항 등에 대한 철저한 조사를 통한 엄정한 제재' 였다.
◆"금융당국, 보안 IT관리감독 기조 보완"… 선택과 집중, '위험기반 접근방식' 조언
은행권 CIO(최고정보화책임자)를 역임한 한 인사는 "금융회사의 IT 의존도가 너무 커졌기 때문에 과거 금융 당국이 금융권 전체의 IT를 세밀하게 관리감독하는 것이 불가능해졌고, 그로인해 금융회사 스스로에 맡기는 자율보안 정책으로의 전환은 필요했다"고 인정했다.
그러나 그는 "현실적으로 금융회사들이 이같은 자율보안 정책의 취지를 스스로 소화하지 못하는 것이 드러났다"고 지적했다.
그는 "IT 자체 역량을 갖춘 대형사를 제외하곤 자율보안이 어렵기 때문에 금융권에서 각종 전산장애와 보안사고 등 잠재적 IT 리스크가 커질 수 밖에 없는 상황"이라며 "이같은 사고는 앞으로도 더 계속될 수 밖에 없을 것"이라고 우려했다.
즉, 빠른 기술 변화 속도에 대응하기위한 투자 여력의 부족과 함께 전문 IT보안 인력의 역량 부족으로 인해 이같은 자율보안 정책 기조가 더이상 현실적이지 않다는 것이다.
실제로 금융회사 내부의 전반적인 IT 역량 하락은 수치로 나타나고 있다.
최근 금융권의 IT 사고 내용을 보면, 해킹 등 외부의 공격보다는 내부 IT 역량 부족에 의한 사고가 급증했음을 알 수 있다.
금감원에 따르면, 최근 5년간(2020~2024년) 35개 증권사에서 총 429건의 사고가 발생했다. 매년 발생 건수도 증가해 지난 2020년 66건이던 전자금융 사고가 2024년에는 100건으로 급증했다.
지난 5년간 증권사의 전자금융사고 429건중 프로그램 오류는 156건(36.4%)인 반면 외부요인은 그보다 적인 133건(31%)로 집계됐다.
이처럼 프로그램 설계 및 테스트, 제3자 검증 미흡 등 프로그램 오류로 인한 장애는 그 원인을 금융회사의 내부 IT역량에서 찾아야한다는 게 전문가들의 지적이다.
금감원은 이같은 리스크 요인 및 안전성 강화를 위해 ▲ 상시감시 강화 ▲신속 정보수집·공유 ▲ IT감사 가이드라인 안착 ▲자율시정체계 활성화 ▲고위험사 집중관리 ▲ 적시검사 및 엄정한 제재 ▲소통 및 교육 강화 등의 대책을 제시하고 있다.
지난 2011년 3월 해킹에 의한 농협의 충격적인 전산대란 이후 금융당국은 금융회사 전체 인력의 5%를 IT 인력으로 확보하고, IT 인력의 5%를 보안 인력으로 확보하며, 전체 IT 예산의 7%를 보안에 투자하도록 한 '5.5.7' 규제를 한동한 국내 금융권에 적용한 적이 있었다.
권고사항이지만 현장에서는 사실상 의무조항으로 받아들였다.
그러나 이 제도도 사실상 큰 효과는 없었다. IT자본 여력이 큰 은행권의 경우, 이미 5.5.7 기준을 모두 초과하는 등 큰 문제가 없었지만 IT 투자 여력이 부족한 중소 금융회사의 경우에는 오히려 규제에 저촉되지 않기위한 편법이 동원됐고 결과적으로 IT 투자가 더 열악해졌다는 평가가 나왔었다.
이에 따라 전문가들은 IT투자 여력이 상대적으로 떨어지는 금융회사들이 저비용으로 클라우드 기반의 보안 서비스(Security as a Service)를 효과적으로 활용하는 방안과 함께, 보안 전문 기관이나 외부 업체에 아웃소싱을 통한 전략적 해결책을 주문하고 있다.
특히 금융권 '자율보안' 전략과 관련해서 일벌 백계식으로 사후 처벌에 방점에만 두지 말고 제대로된 '위험기반 접근방식'으로의 명확한 메시지를 전달할 것을 요구하고 있다.
'위험기반 접근방식'은 금융 회사가 모든 영역에 동일한 투자를 하는 것이 아니라 가장 중요한 자산과 가장 큰 위험이 예상되는 부분에 한정된 자원을 집중적으로 투입하는, 즉 '선택과 집중' 방식으로의 전환이다.
 |
<디지털데일리>는 금융IT 혁신 및 디지털금융 분야의 핵심 이슈를 진단하고, 전망과 대응 전략을 공유하기 위한 [2026년 전망, 금융IT Innovation] 콘퍼런스를 오는 12월 11일(목) 소공동 롯데호텔 서울 사파이어볼룸(3층)에서 개최합니다.
올해로 21회를 맞이하는 콘퍼런스는 국내·외 금융권의 핵심 디지털 및 IT 이슈를 조망하고 트렌드와 성공사례를 공유해 온 대표적인 대규모 금융IT 행사입니다.
이번 콘퍼런스에서는 2026년 금융 IT 및 디지털 정책 방향을 비롯해 금융 IT 및 디지털금융 혁신 사례 , 인공지능(AI)의 확산과 규제 환경의 재편, 초개인화 금융 서비스 전략, 보안 등 최근 디지털금융 및 IT 현안을 주제로 진행됩니다. 독자 여러분의 많은 관심 부탁드립니다.
보다 자세한 행사 정보와 사전 등록은 <디지털데일리> 홈페이지 안내창을 이용해 주시기 바랍니다. 감사합니다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.