[디지털데일리 이유지기자] 사상초유의 농협 전산망 장애 등 잇달아 발생한 금융권 보안사고를 계기로 금융사 CEO가 IT보안계획 수립 등을 직접 챙기는 등 긍정적인 변화가 나타나고 있다.
금융보안연구원(원장 곽창규)이 최근 금융회사 IT보안담당 임직원 400여명을 대상으로 설문조사를 실시한 결과, 금융당국의 ‘금융IT 보안강화 종합대책’ 발표 이후 금융회사의 IT보안계획에 대한 실질적인 의사결정에 CEO가 참여하는 비율이 크게 증가한 것으로 나타났다.
보안강화 종합대책 발표 전에는 임원과 부서장이 각각 49%, 30%로 대부분을 차지했고 CEO의 비중은 19%에 불과했지만, 최근에는 CEO의 의사결정 비중이 37%로 늘어났다. 이사회 차원에서 실시하는 경우(5%)도 생겼다. 반면에 임원(40%)과 부서장(14%)의 비율은 줄었다.
금융권 보안사고와 종합대책 발표 이후 가장 많이 나타난 변화를 묻는 질문에는 내부통제 개선(44%), IT보안기술 인프라 확충(40%)을 실시했다는 응답자가 가장 많았다. 금융보안 사고의 주요원인으로 지적됐던 관리적·기술적 대응조치가 우선 진행되고 있다는 것을 알 수 있다.
또 경영진의 인식전환(23%)과 IT보안예산 확충(23%), CISO(최고정보보안책임자) 임명 및 보안조직 역량 강화(19%) 순으로 나타났다. IT보안인력 처우가 개선됐다는 응답은 2%에 불과했다.
CISO 지정과 관련해서는 이미 지정했거나 임명을 계획 중이라고 답한 응답자가 절반을 넘어 긍정적 움직임을 보이고 있으나 아직까지 계획이 불투명한 경우(40%)도 많은 상태다.
응답자의 37%는 CISO를 종합대책 발표 전후에 이미 지정한 것으로 나타났다. 올해와 내년 중 CISO 임명을 계획하고 있는 비중도 23%로 나타나, 금융사 CISO 지정이 꾸준히 확대될 것으로 예상된다.
이와 관련된 애로사항은 인력수급 문제로 지적돼 향후 중장기적 관점에서 대책 마련이 필요할 것으로 보인다.
아울러 정보보호전담조직 및 IT보안인력 확충은 지속적으로 증가해 전문인력 수요가 증가할 전망이다.
종합대책 발표 이후 IT보안전담인력을 올해와 내년에 새롭게 구성할 계획이라는 응답은 44%를 차지했고, 발표 직후 전단조직을 신설했다는 응답은 7%로 나타났다. 발표 전에 전담조직을 운영하고 있었다는 응답은 26%를 차지했다.
IT보안 예산도 대부분 증액되는 변화가 있었다. 금융당국이 종합대책에서 권고한 IT보안예산 비율은 5%에는 아직 못 미치는 곳이 많은 것으로 파악됐다.
종합대책 발표 후 IT보안예산이 증액했거나 올해와 내년 증액할 예정이라는 응답은 63%에 달했다. 다만 금유당국이 권고한 IT보안예산 비율에 대해선 ‘일부 예산증액이 필요하다’는 답변이 40% 나왔다. 권고수준의 준수가 필요하다는 응답은 33%, 권고수준 준수가 불가하다는 응답은 9%, 권고수준 이상 증액 필요는 7%를 차지했다.
IT보안기술 인프라를 도입했거나 예정이라고 답한 응답자도 80% 이상으로 이후 IT보안예산 증액에 따른 IT보안인프라 수요가 지속적으로 발생할 것으로 전망된다. 연내 도입할 계획을 수립한 응답비율도 63%이다.
IT보안기술 인프라 개선 등을 위해 금융사에서 가장 많이 도입했거나 고려중인 분야는 취약점 점검(40%), 시스템 계정관리 강화(35%), 해킹피해 최소화를 위한 시스템 개선(35%), 휴대용 저장매체 보안통제 강화(28%), 망분리 등 접속경로 통제 강화(26%) 등이다.
대부분의 금융사들이 내부통제와 아웃소싱 등 IT보안관리 정책도 개선하고 있다. 기존 정책을 수정 중이라는 응답은 58%를 차지했으며, 올해와 내년 안에 변화된 정책을 적용할 계획이라거나 신규정책을 개발하고 있다는 응답률이 23%를 차지했다.
IT보안강화 종합대책 실효성 증대를 위해서는 다수의 응답자가 보안에 대한 임직원의 지속적인 관심과 투자를 꼽았으며, 감독당국의 관리감독과 금융사, 관련기관 간 유기적 대응체계가 필요하다는 답변도 나왔다.