금융권 IT보호업무 모범규준 이행안 어디까지 왔나③결산

금융권 관계자들은 전자금융감독규정 개정안에 따른 `금융회사 IT부문 보호업무 모범규준`이 금융 IT 수준을 한 단계 높이는 계기가 될 것으로 보고 있다. 여러 금융사가 올해를 부족했던 IT인력과 예산, 인프라를 충원하는 기회로 삼고 있다.

실제로 이달까지 대부분 금융사가 IT인력과 보안인력 5% 기준을 충족한 상태다. 보안 예산 역시 대부분 확보했고 정보화 계획에 맞춰 취약성점검 등 보안강화 활동을 추진 중이다. 이들은 모범규준이 전자금융거래법, 개인정보보호법과 함께 금융사 보안강화에 특효약이 될 것으로 보고 있다.

아직 IT인력 5%를 충족하지 못한 회사들은 연말까지 지속적으로 충원해나갈 계획이다. 특히 인력을 포함한 모범규준 70여개 조항은 은행권보다 상대적으로 IT수준이 열악한 캐피털 등 제2금융권에 큰 도움이 될 것으로 보인다. 강제성을 띈 모범규준이 그동안 부족했던 경영층의 관심을 정보화로 돌리는 데 기여할 것이라는 반응이다.

하지만 몇몇 금융사는 대부분 규정이 평소에 추진하던 일일 뿐더러 일부는 자사 현실에 맞지 않는다는 불만도 내놓고 있다. 일례로 전 직원이 3만명에 이르는 국민은행은 올해 안에 IT인력 5%(1500명) 기준을 맞추기가 어려운 상태다. 지점수(직원수)가 많다고 해서 IT인력이 많아야 하는 것도 아니며 없던 업무를 늘리기도 어렵다는 입장이다.

셰어드 서비스 센터(SSC)를 지향하며 IT인력을 한화S&C로 통합했던 한화그룹 금융사들은 IT인력을 다시 복귀시켜야 하는 처지에 놓였다. 지주사와 달리 그룹사 소속 금융사는 IT계열사 인력을 내부 인력으로 인정받지 못하기 때문이다. 삼성생명 등 삼성그룹 금융사들도 이 문제를 심각하게 고민하고 있다.

한 은행 관계자는 “모범 규준의 여러 기준이 국민의 재산과 정보를 관리하는 금융권의 IT수준을 높이는 게 기여하는 것은 맞다”면서 “하지만 일부 조항들은 현실성이 떨어져 금융사 IT역량을 강화한다기보다는 단순한 벌칙조항으로만 여겨지는 면도 있다”고 말했다. 그는 더 현실적이고 세분화된 모범규준이 필요하다고 지적했다.

금융감독원은 이행점검 현황을 정기감사에 포함시켜 지속적인 감사를 추진할 예정이다. 이미 올해 초 한 지주사 계열 캐피털사에서 모범규준을 기반으로 한 현황검사가 진행됐다. 은행 수준의 보안점검이 진행됐는데 현저하게 기준에 미치지 못했다는 후문이다. 이에 따라서 인력과 보안예산 등 기본요건뿐만 아니라 70여개 항목 전체에 대한 세밀한 분석과 대비가 필요해 보인다.

<모범규준 이행 따른 금융사의 고민 (자료:전자신문)>