구색맞추기용 ‘5·5·7룰’…IT보안 짠돌이 금융사는 어디?

사상 유례가 없는 카드 3사의 고객정보 유출 대란 이슈가 가라앉지 않고 있다. 힘든 시기를 보내고 있는 카드업계는 '소치 동계올림픽'이 개막되면 국민의 관심이 그쪽으로 쏠릴 것으로 기대했다. 하지만 주요 금메달 후보 선수들이 메달획득에 실패하면서 이러한 바람은 이뤄지지 않았다.

또한 정보가 유출된 카드사들의 영업정지가 내려지면서 금융권 관계자의 눈과 귀가 쏠리고 있다.


이 와중에 금융권에서 주목받고 있는 제도가 있다. 바로 '5·5·7룰'이다. 지난 2011년부터 시행된 이 규정에 따르면 전자금융을 영위하는 금융사는 전체 인력의 5%를 정보기술인력으로 채워야 하며 이 중 5%를 정보기술보안 전담인력으로 채용해야 한다. 또한 IT예산 중 7%를 정보보호 예산으로 편성해야 한다.

하지만 실제 금융사들은 이러한 제도를 '구색 맞추기 형식'으로 지켜나가고 있다. 규정에 턱걸이할 정도로만 인력 및 예산을 편성하는 것이다. 금융권의 한 관계자는 "5·5·7룰은 강제사항이 아닌 권고사항"이라며 "금융당국의 권고를 무시할 수 없기 때문에 기준에만 맞추는 게 현실이다"고 말했다.
 
◆"예산 잡아도 집행은 NO"

김재경 새누리당 의원(정무위원회)이 금융감독원으로부터 받은 자료에 따르면 지난 2012년 은행권의 평균 정보보호부문 예산 집행액 비율은 11.6%였다. 금감원의 권고사항인 7%보다는 많은 금액을 지출했다.

그러나 문제는 은행들이 책정한 예산액 중 실제 집행된 금액이 그 수준을 따라가지 못했다는 점이다. 지난 2012년 은행권의 정보보호 책정 예산은 3277억7400만원이었다. 이 중 실제 집행된 금액은 2463억2200만원으로 집행률은 75%에 그쳤다.

보험권의 실태는 더 심각했다. 같은 기간 보험권의 정보보호부문 예산 집행액 비율은 8.7%에 불과했다. 보험사들은 2023억800만원을 예산으로 책정했지만 실제 집행은 1144억6100만원을 기록해 집행률이 57%에 머물렀다.

아울러 정보보호부문 예산 집행비율이 9.2%였던 증권사들은 1319억7100만원을 책정해놓고도 850억5600만원(집행률 64%)만 집행했다. 또한 집행액 비율이 9.6%였던 카드사들은 805억5400만원의 예산을 잡았지만 실제로는 497억8600만원(집행률 62%)만 사용했다.
 
◆집행에 인색한 짠돌이 금융사 어디?

시중은행 중 정보보호 예산을 가장 적게 집행한 '짠돌이' 은행은 KDB산업은행으로 파악됐다. 지난 2012년 산업은행의 정보보호 예산 집행액 비율은 7.1%에 불과했으며 집행률 역시 절반도 안되는 47%였다. 우리은행(7.5%), 하나은행(7.8%), SC은행(7.8%) 등이 그 뒤를 이었으며 지방은행 중에서는 광주은행(7.2%)이 가장 적은 비율의 예산을 집행했다.

증권사들 역시 정보보호 관련 예산을 적게 예산을 집행한 것으로 나타났다. HMC투자증권(7.1%)을 비롯해 SK증권(7.1%), 대우증권(7.5%), 동양증권(7.5%), 메리츠종합금융증권(7.5%), 삼성증권(7.7%), 신한금융투자(7.9%) 등이 턱걸이 수준에 머물렀다.

보험권의 상황은 더 심각하다. 일부 보험사가 7%룰을 지키지 않은 것으로 나타났다. 동양생명의 2012년 정보보호부문 예산 집행액 비율은 6.6%였다. 동양생명은 32억1100만원을 정보보호 예산으로 책정했지만 17억5000만원만 집행해 집행률 역시 54%에 그쳤다.

정보유출 대란이 발생한 카드사는 어떨까. 이번 대란과 직접적인 연관이 있는 KB국민카드와 롯데카드가 집행액 비율에서 인색한 것으로 집계됐다. KB국민카드의 경우 2012년 집행액 비율은 7.2%에 불과했다. 국민카드는 113억4300만원을 예산으로 책정했지만 불과 48억400만원만 실제 사용했다.

롯데카드의 집행액 비율 역시 7.1%로 이 카드사는 84억5600만원을 예산으로 책정해 47억100만원만 집행했다.
 
◆"인건비 없어요"…권고수준만 유지?

외부의 해킹이나 디도스 공격 시 금융사의 전산망을 지켜내고 고객정보 서버를 관리해야 하는 IT보안 인력의 채용은 어떤 수준일까. 한마디로 요약하면 '딱 권고사항까지만'이다.

국내 주요 금융사들은 IT인력과 IT보안인력을 전체 인력 중 5% 수준에서만 유지하고 있는 것으로 나타났다.

지난해 은행권의 전체 인력 대비 IT보안인력은 평균 6.1%다. KB국민은행(5.0%), 신한은행(5.0%), 하나은행(5.2%), SC은행(5.6%) 등 주요 은행들의 IT보안인력은 턱걸이 수준이다.
증권업계도 마찬가지다. 평균비율은 7.3%이지만 교보증권(5.5%), IBK투자증권(5.7%), 대신증권(5.4%), 대우증권(5.3%), 미래에셋증권(5.4%), 우리투자증권(5.3%) 등은 5%대에 머물렀다.

평균 IT보안인력 비율이 6.7%인 보험업계 역시 동부화재(5.6%), 삼성화재(5.3%), 한화손해보험(5.5%), 한화생명(5.0%)이 5%대를 기록했다. 심지어 국내 최대 보험사인 삼성생명의 IT보안인력비율은 4.7%에 불과했다.

그렇다면 금융사들은 왜 IT보안인력을 늘리지 못하는 것일까. 금융권 관계자들의 말을 종합하면 '인건비' 문제가 가장 크다. 과거에는 IT보안을 대부분 외주업체에 위탁했다. 그러나 5·5·7룰이 시행되면서 IT보안인력을 정규직으로 채용해야 하는 상황이 된 것. 따라서 인건비가 과거에 비해 많이 증가할 수밖에 없었고, 금융사들은 감독당국의 기준만 맞춘 것이다. 또 IT보안과 관련한 전문인력이 적은 점도 이유로 꼽힌다.

한편 금융권 일각에서는 5·5·7룰 무용론도 제기되고 있다. 금융권 관계자는 "예산을 많이 쓰고 인력을 많이 채용한다고 해서 고객정보 유출이 발생하지 않는 것은 아니다"며 "금융사 임직원과 보안담당자들의 도덕적 무장이 더 중요하다"고 말했다.

실제 KB국민카드의 지난해 IT보안인력비율은 10.1%였다. 롯데카드는 무려 14.4%였다. 그럼에도 양사는 외부 컨설팅업체 직원의 이동식메모리장치(USB) 하나에 수천만건의 고객정보를 도둑 맞고 말았다.
 
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제319호에 실린 기사입니다.