한국이 정보기술(IT) 강국이라는 말에는 동의하지 않지만 IT 인프라 강국임엔 틀림없다. 유 · 무선의 초고속 인터넷 인프라가 다른 나라보다 훨씬 앞서 있다. 그러다 보니 정보보호 대책이 불충분하면,오히려 사이버 공격에 쉽게 노출돼 전 세계 해커들의 놀이터가 되곤한다.

최근 현대캐피탈과 농협에 대한 해킹과 사이버공격은 비록 일부이긴 하지만,우리의 IT 현실에 대한 우려가 현실로 나타날 수 있음을 보여주는 사례다. 42만명의 고객정보가 유출됐는데도 불구하고 해커의 협박성 메일을 받고서야 해킹 사실을 인지하는가 하면,협력업체 직원의 노트북 하나로 금융전산망이 허무하게 마비돼 국민들이 아연실색하고 있다. 그로 인해 고객들은 재산상 피해를 감수해야 하고,정보가 유출된 고객들은 예상치 못한 피해가 있을까 전전긍긍하고 있다.

왜 이런 일들이 발생하는 걸까. 그 이유는 첫째, 조직내 첨단 보안시스템을 관리할 최고정보보안책임자(CSO)의 부재다. 대부분의 금융회사들이 첨단 보안시스템을 도입 · 구축하고 있다. 하지만 경영효율만 강조하다 보니 대부분 은행들이 보안업무를 아웃소싱에 의존하고 있는 게 현실이다. 금융감독원에 따르면 작년 8월 말 기준 16개 시중은행의 IT 담당 인력 중 아웃소싱 인력이 평균 43%에 이른다.

18개 주요 은행의 IT 보안 담당자 121명 가운데 80%는 외부 용역인력이라고 한다. 금융회사의 핵심 보안시설인 전산과 장비관리를 외부 용역업체가 도맡아 하고 있는 셈이다. 핵심보안시설은 경영효율이라는 잣대로 가늠할 게 아니다. 이번 사태에서도 보듯 기업전략상 효율을 따져 아웃소싱을 하더라도 소수 정예의 CSO 기능은 더욱 강화돼야 한다.

둘째, 사이버 테러에 대한 금융회사 전문경영인(CEO)들의 안이한 대응자세도 심각한 수준이다. 사이버 공격패턴이 갈수록 진화하고 있는 상황에서 다층방어적 정보보안시스템을 구축하는 노력이 절실한 이유이기도 하다. 실제 금융회사의 정보보호 예산은 갈수록 줄어들어 작년 은행권들의 보안예산은 IT 예산의 3.2~5.0% 수준에 머물고 있다.

농협의 경우 IT예산 937억원 가운데 보안예산은 은행권 최하위인 3.2%에 불과한 30억원이 배정됐다고 한다. 분산서비스거부(DDoS) 공격으로부터 네트워크 및 서비스 보호 등 악성코드에 대한 시스템 유입 차단은 물론이고,고객정보를 지키기 위해 데이터베이스 암호화나 PC 보안 등 클라이언트 차원에서 보안투자가 균형있게 이뤄지도록 금융권의 적극적인 대규모 투자가 절실하다.

마지막으로 개인정보 유출을 금융권 종사자들이 심각하게 인식하지 않고 있는 것도 문제다. 이는 그동안 개인정보 유출사고가 발생해 손해배상청구 소송이 제기되더라도 실제 금융권이 배상하라는 판결 사례를 찾아보기 힘들었던 데서 기인하고 있다. 하지만 앞으로는 사정이 달라진다. 개인정보보호법의 시행에 대비해 금융권의 개인정보 유출사실 통지와 관계기관 신고 의무화,손해배상책임 경감을 위한 자체 노력이 절실하다. 정기적으로 임직원들에 대한 보안 의식 교육이 이루어져야 한다.

만일 이번 사태와 같은 사이버공격이 전체 금융권에 동시다발로 발생했다면,경제 인프라의 마비를 초래해 국가의 안전보장을 위협할 수도 있을 것이다. 따라서 IT분야의 취약성을 노린 해킹이나 사이버공격에 대비한 예방과 복구체계를 갖추기 위한 충분한 검토와 노력이 이제라도 뒤따라야 한다.

금융회사들이 고객정보를 해킹당하고,전산망 장애로 인해 일시적이나마 전자금융거래가 마비된 어처구니없는 사태의 심각성을 인식해 앞으로 금융회사들의 정보보호관리체계를 재점검하는 계기가 되길 바란다.

김귀남 < 경기대 교수·융합보안학 >