은행권의 한해 보안예산은 1천800억원 가량이 된다. 이 돈이 경쟁력을 높여주는 업무시스템과는 상관없이 해킹을 막고 내부통제 강화에만 사용된다.
은행은 과거 편의성, 정보보호 사이에서 고민했지만 최근에는 후자에 더 집중하는 모습이다. 각종 보안툴을 도입하면 편의성은 떨어질 수 밖에 없지만 해킹 사고 때문에 투자를 할 수 밖에 업다. 각종 인증제도부터 시작해서 망분리를 위해 인터넷 전용 PC를 별도로 설치하는 등 보안강화에 신경을 쓴다.
은행별로 투자를 매년 늘리고 각종 정보보호 제도, 솔루션을 도입하지만 전산망 해킹 사건은 잊을만하면 터져 나온다.
■은행권 ‘557’ 제도 도입…보안 강화
지난 2011년 4월 농협사태 이후 금융감독원 등은 연간 IT예산의 7% 이상을 보안 분야에 책정하도록 권고했다. 은행의 IT예산이 2조6천억원 가량인 것을 고려하면 한해 정보보호 예산만 1천800억원이라는 의미다. 여기에 7% 룰을 넘겨 예산을 편성하는 은행도 있어 2천억원 가까운 돈이 정보보호에 쓰인다. 은행들은 최근의 전산망 장애건으로 올해 계획한 정보보호 예산이 상향될 것으로도 전망했다.
은행은 인건비를 제외한 솔루션, 시스템 개발에만 한해 수백억원을 쓴다. KB국민은행의 보안 예산이 많은 편이다. KB국민은행은 1년 보안예산이 수년째 300억원 규모를 넘어선다. 올해도 330억원을 보안예산으로 잡았다.
우리은행의 경우도 연간 200억원이 넘는 정보보호예산을 투자한다. 여기에 해당하는 예산은 자본예산이다. 인건비를 포함하지 않은 수치다. 우리은행의 올해 정보보호 예산은 220억원 규모로 지난해 대비 20% 상승했다.
여타 은행도 100억~200억원 규모의 정보보호예산을 사용한다. 하나은행이 100억원, 특수은행으로 규모가 상대적으로 작은 KDB산업은행도 연간 80억원을 정보보호예산으로 책정했다.
■경영진 정보보호 인식 개선으로 투자 강화
은행의 정보보호 예산이 2천억원 가까이 되는 배경에는 정책과 내부 인식의 변화가 한 몫을 했다. 금융감독원은 지난해 이른바 ‘557’ 규정을 금융권에 도입했다. IT기술 인력을 은행 인력의 5%로 맞추고 이중 5%는 정보보호 인력, 7%는 IT예산 중 정보보호 예산을 편성하라는 내용이다.
557 규정은 현재 권고사항으로 돼 있지만 은행들은 대부분 이 규칙을 따른다. 내부의 인식이 달라진 점도 정보보호 예산 확대에 한 몫을 했다.
은행권 관계자는 “과거 IT부서의 일로만 여겨던 정보보호가 최근에는 현업, 최고경영진인 행장까지도 높은 관심을 갖게 됐다”며 보안에 대한 인식이 새롭게 정립됐다고 설명했다.
은행권은 각종 침입방지, 내부통제, 통합모니터링 등 각종 시스템을 도입했다. 세부 보안 솔루션은 도입 내용은 보안을 이유로 공개하지는 못하지만 정보보호 투자는 강화한다.
유시완 하나은행 본부장은 “올해 정보보호예산으로 100억원 가량을 책정했지만 그 이상 집행하게 될 것”이라며 보안 투자에 대한 인식이 바뀌고 있음을 명확히했다.
최근 해킹으로 피해를 입은 농협 역시 정보보호 정책을 처음부터 다시 검토할 계획이다. 농협 관계자는 “최근의 전산망 마비를 계기로 정보보호 정책을 재수립하기 위해 논의중”이라고 설명했다.
금감원 역시 금융권의 정보보호 규정을 꾸준히 강화했다. 올해 2월부터는 정보통신망법 개정안이 발효되면서 고객데이터와 관련한 망분리를 의무화했다. 고객 데이터를 저장한 서버는 통신망을 분리해 외부 침입에 대응해야 한다.
■3.20 결론나면 정책 강도 높아질 듯
감독 당국도 지난 20일 해킹 사건 이후 규정을 강화할 전망이다. 금융감독원은 민관합동대응팀이 결론을 내면 이후 은행권 보안 현황을 재점검할 계획이다. 보안정책도 재수립할 것으로 보인다.
감독당국은 금융기관의 보안을 위한 망분리 규정 등에 대해서도 검토중이다. 그동안 망분리에 들어가는 비용이 커서 의무사항으로 도입하지는 못했지만 전산망 사고를 계기로 도입의 가능성이 높아졌다.
다만 무작정 예산 늘리기가 대응책이 되지 못한다는 지적도 나온다. 은행권 관계자는 “보안사고를 미연에 방지할 수는 있지만 모든 상황에 대응하기 위해서는 예산을 무한정 늘리고 고객, 직원들의 편의를 담보로 잡을 수 밖에 없다”고 말한다.
관련기사
- YTN 전산망 장애 "DDoS공격은 아니지만..."2013.03.27
- 안랩, 전산망 마비 공격 후속조치 발표2013.03.27
- 전산망 마비 7일째…금융권 비상근무중2013.03.27
- 전산망 마비, 외국보안회사들 시각2013.03.27
557만으로도 보안을 막을 수는 없다는 설명이다. 보안사고가 일어날 수 있는 경로가 무한정이 되는 만큼 예산도 무한정으로 확대하고 정보보호를 강화하면 할수록 시스템의 편의성도 떨어진다. 정보보호를 무시할 수는 없지만 정답을 찾기도 어렵다.
보안강화에도 지속되는 전산망 해킹 사고에 대해 업계에서는 “시스템 전원을 크고 땅에 묻은 후 시멘트로 덮는 것만이 정보보호 사고를 막을 방법”이라는 우스갯소리도 나온다.