현대캐피탈·리딩투자증권 해킹사태와 농협 전산망·현대증권 HTS시스템 불통까지 금융권 전체에서 IT보안 관련 문제가 거듭 발생하고 있다. 이 모든 사건의 원인은 총체적 관리 소흘에서 비롯된 것으로 밝혀졌다.
금융권 안팎에서는 “금융업계가 이에 대한 특별한 대책 없이 그때그때 미봉책으로 일관해 문제를 더욱 키우고 있다”며 “이대로 방치할 경우 더욱 큰 문제가 발생할 것이다”는 비판이 일고 있다. 그러나 이를 관리감독 해야 할 금융당국 또한 단순 조치에 그쳐 본질적 문제해결은 여전히 갈길이 멀어 보인다.

◇거듭되는 금융업계 IT보안 문제

올 들어 금융권에서는 전산시스템 관련하여 지속적으로 많은 문제들이 발생하고 있다.
지난 4월에는 해킹으로 인해 농협 전체 전산망이 마비돼 며칠간이나 금융거래가 중지되는 사태가 발생했다. 또한 같은달 해커들이 현대캐피탈 고객정보를 해킹하여 금전요구를 하는 사건도 발생했다.
증권사들도 전산사고가 끊이지 않고 있다. 이달 들어서만 증권사 3곳에서 4차례 전산 사고가 일어났다.
현대증권에서는 온라인 접속이 장중 50분가량 블통되는 사고가 발생했다. 홈트레이딩시스템(HTS)은 물론 홈페이지를 통한 거래(WTS), 스마트폰 거래 등이 오전 8시55분부터 9시45분까지 불통됐다.

이에 앞서 하나대투증권도 HTS의 주식워런트증권(ELW)에서 18분간 전산장애가 발생하기도 했다.
농협(NH)투자증권은 매매정보가 시세조회 시스템을 통해 고스란히 유출되는 일도 두차례나 발생했다.
지난달에는 해커가 리딩투자증권 홈페이지에서 고객들의 개인정보를 빼내 금품을 요구한 사건이 일어나 경찰이 수사에 나서기도 했다.

그러나 이런보안을 감독해야 하는 기관들도 제코가 석자다. 금융감독원 전자공시시스템(DART)은 지난 13일 회선 문제로 2차례나 걸쳐 가동이 중단됐다. 지난 7일엔 한국거래소의 코스닥시장이 체결시스템 오류로 49분이나 늦게 종가와 지수 산정이 이뤄졌다.

◇한계에 다다른 보안불감증

현대캐피탈이나 농협사태와 같은 일련의 사태에도 불구하고 금융권에서는 아직도 IT보안 문제에 대해 미온적 태도를 취하고 있어 문제가 되고 있다.
금융당국은 농협 전산망 마비사태 이후 금융위원회, 금융감독원, 민간전문가로 구성된 테스크포스(TF)를 만들어 긴급히 대응하는 모습을 보였다. 그러나 그 후 별다른 움직임이 없어 금융권 일각에선 ‘시간 벌기’라는 말이 공공연히 흘러나오고 있다.
이후 발생한 저축은행 사태 등으로 금융위와 금감원 내부적인 문제가 발생했고 금융권 주요 이슈도 저축은행 사태쪽으로 많이 넘어갔기 때문이라는 것이다.

TF는 당초 4월부터 금융기관들을 대상으로 서면조사, 현장조사를 거쳐 6월중 보안 대책을 마련하고 보안 가이드라인을 작성해 배포할 예정이었다. 그러나 현재까지 조사결과에 대한 발표도, 가이드라인 베포도 이뤄지지 않고 있다.
한 은행권 관계자는 “금융당국의 가이드라인에 맞춰서 해야 하기 때문에 아직 어떠한 움직임을 보이긴 어렵다”며 “금융회사가 한두군데도 아니고 전체를 포괄하는 가이드라인이 나오기 전까진 어떤 금융회사도 움직이진 않을 것이다”고 밝혔다.
그러나 업계 안팎에선 "금융권에서 마냥 당국의 조치만 기다리고 있는 것도 문제이다"며 "금융권에서는 지금껏 충분한 시간이 있었음에도 불구하고 그간 IT보안에 무신경 했다"고 밝혔다.
한 보안업계 관계자는 “수년간 많은 사람들이 금융권의 보안 문제에 대해 언급했으나 금융권에서는 돈이 많이 든다는 이유로 여지껏 방치해왔다”며 “이 모든 사태의 책임은 금융회사들에게 있고 이런 문제를 알면서도 방치한 금융 당국 또한 공범이다”고 주장했다.

◇보안투자? 글쎄...

최근 일련의 전산망 마비, 불통사태와 해킹사건들에도 불구하고 금융권에선 IT보안 분야에 대한 추가 예산 편성에는 난색을 표하고 있다.
농협중앙회는 "전산망 마비사태에 책임을 지고 IT보안 분야에 2015년까지 5000억원 규모의 투자를 하겠다"고 선언했다. 그러나 국민은행, 기업은행, 우리은행 등 주요은행들의 올해 IT보안 관련 예산은 약 70~120억원 규모로 전체 IT예산의 약 5%에 불과하다.
최근 은행을 비롯한 금융권에서는 차세대시스템이라는 명칭아래 새로운 시스템 도입을 골자로 하는 IT분야 개선 계획들을 내놓고 있지만 이는 대부분 영업지원과 내부시스템 개선 등의 내용이고 가장 중요한 '보안'에 대한 부분은 여전히 미흡한 상태이다.

은행권에서는 “올해 하반기쯤 외부 컨설팅을 받아 보안시스템 강화를 위한 중장기 로드맵을 도출해 보겠다”며 내년부터 보안투자에 나서겠다고 밝혔다. 그러나 구체적 계획은 사실상 전무해 추가투자 없이 단순 미봉책으로 일관하는 것이 아니냐는 비판을 받고 있다.
금융업계가 이처럼 IT보안분야에 투자하는것을 꺼리는 이유는 ‘보안투자’가 직접적인 영업이익으로 나타나지 않기 때문으로 분석 된다. 한마디로 말해 ‘사고’만 안나면 된다는 것이다.
그러자 금융권이 문제의 심각성을 제대로 파악하지 못하고 있다는 비판이 일고있다. 대부분의 금융회사들은 이를 단순히 보안업체의 ‘솔루션’구입을 통해 관리감독만 넘기면 된다는 식의 미봉책을 거듭하고 있다는 것이다.

그러나 최근 일어난 전산망 사태는 모두 패스워드 관리, 악성코드·해킹시도 분석 등을 소흘히 하는 총체적 관리 부실이 불러온 사태인 만큼 보안에 대한 기본부터 다시 세워야 할 것으로 보인다.
한 보안업계 관계자는 “금융보안은 중요한 문제이다. 보안이 미비하면 조직의 근간이 흔들릴 수 있다는 인식을 가져야 한다”며 "일련의 해킹·보안 사태는 모두 ‘관리부실’에서 비롯된 만큼 최고보안책임자(CSO)를 선임해 체계적으로 관리할 필요성이 있다"고 주장했다.

[ⓒ 토요경제. 무단전재-재배포 금지]