금융 전산시스템 관리 ‘총체적 부실’

(아주경제 권석림 기자) 최근 잇따른 금융권 대형 전산사고로 인해 금융소비자 불안감이 확산되고 있다.

현대캐피탈 해킹, 농협 전산망 마비로 인한 국내 금융회사들의 전산시스템이 경영자의 인식 부족과 관리 소홀 등 총체적 부실이 도마위에 올랐다.

◆ 보안인력 태부족
최근 금융감독원 자료에 따르면 국내 주요 은행들의 정보 시스템 보안을 담당하는 인원은 121명. 그나마 이들 인력의 80%가량은 외부용역 직원들이다.

국내 은행들의 정보기술(IT) 인력은 지난 2000년 4100여명에서 2009년에는 3876명으로 줄더니 지난해 8월말 기준으로 3500명선까지 감소했다.

한국은행의 금융정보화추진협의회 자료에는 IT 보안인력은 18개 은행이 121명, 6개 저축은행이 11명에 불과했다. IT 관련 인력은 17개 은행이 6240명이지만 이 가운데 외부용역 인력이 2,722명으로 전체 인력의 43.6%를 차지했다.

회사에 최고정보보호책임자(CISO) 직책이 있는 곳도 드물다.

방송통신위원회가 지난해 6529개 기업을 조사한 결과 14.6%만 CISO가 있었다.

이같은 이유로 전문가들은 금융권의 정보보안 중요성에 대한 인식이 상대적으로 매우 낮다고 지적하고 있다.

◆ IT보안 예산 4% 이하

IT 예산 중 정보보안 분야에 투입하는 예산도 점차 줄고 있다. IT 예산 중 보안에 투입한 비중은 2008년 4.4%에서 2010년 3.4%로 오히려 감소했다.

그동안 인터넷뱅킹·모바일뱅킹 등 신규 서비스와 차세대 시스템 도입 바람으로 전산자원이 기하급수적으로 늘어 IT 인력 수요가 늘어난 것과는 정반대다.

정부 당국은 은행 등 금융회사들이 IT 예산의 5%를 보안에 투자하도록 권고하고 있지만 이를 지키는 금융권과 기업체는 드물다.

이성헌 한나라당 의원이 금융감독원으로부터 받은 금융권 보안 예산 현황에 따르면 지난해 시중 16개 은행이 IT 예산 가운데 보안에 쓴 비중은 3.4%에 불과했다.

농협중앙회는 2010년 934억5000만원의 IT예산을 쓰면서도 정작 보안 예산은 IT예산의 1.6%인 14억5000만원을 사용하는 데 그쳤다.

학계 한 관계자는“금융 거래의 80%가 전산망을 통해 이뤄지는데, 금감원 보안 예산 5% 권고기준을 맞춘 데가 은행에서도 몇 군데 없는 것은 한심한 일”이라며 “정보보호 인력과 양성체계에 대한 홀대, 금융회사들의 보안 투자 무시가 화를 키웠다”고 꼬집었다.

◆ 안전불감증도 여전
이번 금융권 전산사고에 대해 일각에선 ‘데이터베이스(DB)암호화의 부실이다’, ‘웹서버의 관리가 취약했기 때문이다’ 등 다양한 원인을 경쟁적으로 쏟아내고 있다.

하지만 해커들의 전산시스템 침입과 2개월 넘도록 몰랐던 것에 대해서는 보안관리에 의구심을 갖게하고 있다.

특히 농협은 전산망 관리체제 자체가 엉터리인 것으로 드러나 충격을 주고 있다.

농협의 경우 사고가 발생한 양재동 농협IT본부분사에서 전산시스템을 모니터링하는 협력업체 직원들은 사무실에 고정된 데스톱형 컴퓨터가 아니라 노트북 PC를 통해 전산시스템을 감시, 얼마든지 외부로 반출이 가능해 해킹이나 바이러스 오염 위험에 고스란히 노출될 수 있다.

하나의 노트북 PC로 320개 서버를 연결해 모니터링할 수 있도록 한 점도 문제로 지적됐다.

보안 전문가는 “보안체계에 대한 지속적인 관심과 노력이 병행되지 않는다면 이번과 같은 대형 사고는 금융권에서 언제든지 일어날 수 있다”고 경고했다.