[이코노믹리뷰=장은진 기자] 금융권은 2014년부터 전자금융거래법에 따라 정보보호 최고책임자 지정신고제도를 시행해 오고 있다. 전자금융거래법 내에 정보보호최고책임자(CISO: Chief Information Security Oficer) 겸직금지 및 자격요건 등은 개정된 정보통신망법보다 유연한 편이다.

전자금융거래법에 따르면 전년도 총 자산 10조원, 상시 직원 수 1000명 이상인 기업의 CISO는 겸직을 할 수 없다. 자산총액 기준을 5조원 이상으로 잡은 정보통신망법 개정안보다 기준치가 2배나 높다. 또 CISO 자격조건도 세분화해 정보보호 관련 학사를 취득한 경력 외에 자격증, 실무경험 등을 기준으로 선임할 수 있다는 점이 돋보인다.

금융권은 CISO 겸임금지 자산총액 기준이 비교적 유하게 구성되고 자격요건을 전공부터 실무영역까지 세분화시켜 정립해 둔 덕에 어수선한 분위기인 산업권과 달리 비교적 안정적인 상황을 유지 중이다. 그러나 이같은 금융권의 안일한 모습에 보안업계 일각에서는 비판의 목소리가 커지고 있다.

관계자들은 산업보다 금융의 정보보안 기준이 까다로워야 한다고 입을 모았다. 특히 '정보'가 돈으로 연결되는 금융권의 특성을 고려할 때 산업권보다 강한 규제를 적용해야할 필요가 있다는 지적이다.

전임 비중 19% 수준… 겸직업무 수행자 많아

한국은행 금융결제국에 따르면 국내 151개 금융기관의 IT 인력은 2018년 총 9513명으로 전년 동기 대비 3.5% 증가한 것으로 나타났다. 이 가운데 정보보호관리 인력(2018년말 853명)은 1.4% 증가했다.

금융기관의 정보보안 강화를 위해 도입된 CISO 지정 현황을 살펴보면 총 151개 응답기관 중 121개 기관이 CISO를 임원으로 지정해 운영하고 있는 것으로 조사됐다. 하지만 CISO가 다른 직무와 겸임하는 경우가 많아 전임 비중은 19.8%(24명)에 그쳤다.

금융권의 전자금융서비스 규모는 지속적인 성장세를 보이고 있다. 은행이 제공 중인 인터넷뱅킹(모바일뱅킹 포함) 서비스 가입자 수는 2018년말 1억4656만명에 이른 것으로 추정한다. 서비스 규모는 2018년중 일평균 1억1897만건, 47조5501억원 수준이다.

때문에 금융권은 IT 부문에 자금도 계속 쏟아붇고 있다.

은행(시중, 인터넷, 지방, 특수은행)들의 지난해 총 예산은 24조8430억원으로 집계됐다. 이 중 IT 관련 예산은 2조6370억원으로 총 예산에서 10.6%를 차지하는 규모다. 2016년 이후 IT 예산은 총 예산에서 줄곧 10%대 이상의 비중을 차지하고 있다 .

증권업계도 비슷한 실정이다. 작년 기준 총 예산 대비 IT 예산 비중은 11.2%(9620억원)으로 10% 이상을 차지하고 있다. 2016년엔 총 예산에서 IT 예산이 차지하는 비중이 12.4%로 가장 높았고 2017년 11.7%로 다소 줄고 있지만 여전히 10% 이상을 웃돌고 있다.

'디지털 전쟁' 강조한 은행, CISO 지정 100% 완료

금융권 업종별로 은행이 임원급 CISO 지정을 100% 완료한 상황이다. 전임 비중도 26.3%로 작년(21.1%)보다 증가했다.

은행들은 최근 ‘디지털 전쟁’이 화두인 상황을 고려한 모양새다. 

지난해 시중은행, 인터넷전문은행, 지방은행, 특수은행 등 국내은행들의 전체 임직원 수는 4년간 지속됐던 하락세 멈추고 전년 대비 0.3% 증가한 1만7046명을 기록했다. 이 가운데 IT 인력은 증가세를 지속하면서 전년말 대비 3.6% 증가한 4396명으로 집계됐다.

그 결과 올해 은행권의 총 임직원 대비 IT 직원 비중은 역대 최대 규모다. 전체 임직원 중 IT 직원 비중은 3.8%로 수준으로 매년 증가 추세를 기록하고 있다.

은행권의 IT 인력 분포를 살펴보면 시스템개발 인력이 49.0%로 가장 높은 비중을 차지하고 있다. 그 외 관리자, 시스템운영, 행정지원 부문은 10% 내외에서 고르게 분포 중이다.

그러나 보안 전담인력인 정보보호관리 인력의 비중이 8.1%에 불과해 향후 보안이 필요할 것으로 분석된다.

IT 인력 아웃소싱 비중은 52.3%로 전년(52.3%)과 동일하다. 

이 중 IT 업무의 일부만을 위탁하는 부분 아웃소싱이 35.2%, IT 업무 전반을 위탁하는 전체 아웃소싱은 17.1%로 집계됐다. 자체 채용 중인 IT 인력이 47.7%인 점을 감안할 때 아웃소싱 비율이 점차 축소해 나갈 필요성도 대두되고 있다.  

▲ 출처=한국은행

임원 아닌 CISO도 다수…갈길 먼 증권사

은행이 100% 임원급 CISO를 지정한 반면 증권사의 경우 임원급 CISO 선임 비중이 66.3%에 그쳤다. CISO 임원 전임 비중도 10.9%로 금융권 중 가장 낮았다. 

증권사의 경우 올해 디지털 혁신에 따라 IT와 결합한 다양한 사업을 쏟아내고 있지만 전산시스템 투자 예산은 상대적으로 미흡한 실정이다.

증권사 예산은 2018년 8조5785억원으로 전년 대비 6.7% 늘었다. 이중 IT 예산은 9617억원으로 전년 대비 3.9% 증가했다. 총 예산 대비 IT 예산 비중은 1.2%로 타 업종에 비해 높은 수준이다. 그러나 정보보호를 위해 배정된 예산은 97억원으로 IT 예산의 10.4%에 불과하다.  

IT 인력도 마찬가지다. 전체 임직원 수 중 IT 인력은 1797명으로 2.6% 늘었다. 하지만 임원급 인력에 대해서는 여전히 부족한 상황이다.

그 결과 증권사의 전산 오류는 매월 크고 작은 사례로 지속하고 있다. 한국투자증권은 전산시스템 미비로 실제 발행한 채권 물량을 넘어선 ‘유령 채권’ 매도 주문 사건이 발생했다. 유진투자증권의 경우 지난 8월 증시 개장 이후 홈트레이딩시스템(HTS)과 모바일트레이딩시스템(MTS)이 먹통이 된 사례가 있다. 삼성증권도 작년 배당착오로 501만여주의 ‘유령주식’이 매매되기도 했다.

살제 올해 상반기 금융투자 민원은 2038건으로 전년보다 17.7% 증가했다. 세부 업권별로는 증권 1277건, 투자자문 458건, 부동산신탁 244건, 자산운용 39건, 선물 20건이다. 특히 전산민원의 경우 KB증권(올해 2월)과 미래에셋대우(5월) 등 대형 증권사의 주식매매 전산시스템 장애로 보상 요구 민원(202건)이 집중돼 있다.

키워드

#이코노믹리뷰 #장은진