최근 농협의 전산망 마비 사태와 현대캐피탈 개인정보유출 등을 계기로 금융권이 IT 보안을 대폭 강화하고 있다.
금융당국의 권고에 맞게 IT 관련 예산을 늘리거나, 아예 USB(이동식 저장장치) 사용을 통제하는 곳도 있다.
지난 21일 하나은행은 농협 전산망 마비 사태의 원인 중 하나가 노트북을 통한 USB 접속으로 알려지자 전 은행원의 USB 사용을 중지시켰다.
또 국내 금융기관 중 유일하게 모든 주요서버에는 아이디(ID)와 비밀번호 뿐 아니라 일회용 비밀번호(OTP) 발생기 인증도 거쳐야만 들어갈 수 있도록 했다.
아이디와 비밀번호를 해킹으로 알아내도 OTP 기기가 없다면 서버 접속 자체가 불가능한 것이다.
하나은행 관계자는 “단말기의 USB 삽입구를 아예 차단했다”며 “불가피하게 사용할 일이 생기면 부서장의 허가를 받도록 했다”고 밝혔다.
금융감독원의 권고에 맞춰 IT 보안예산과 인력을 늘리는 움직임도 일고 있다.
금융당국은 IT 보안 예산과 보안 인력을 전체 IT 예산 및 인력의 5%씩 갖추라고 권고했다.
지난해 주요 금융업권별 IT 예산 중 보안 예산은 은행 3.4%, 증권 3.1%, 카드 3.6%, 생보 2.7%, 손보가 2.7%에 불과했다.
우리은행과 신한은행이 IT 보안예산과 인력을 확대 강화하기로 했으며, 금융권에서는 드물게 IT보안 조직을 별도로 운영 중인 국민은행은 IT 관련 부서를 확대하는 다양한 방안을 모색중인 것으로 알려졌다.
기업은행 역시 외부기관에 의뢰해 보안점검을 진행중이다.
점검 결과는 실무에 반영한다는 계획이다.
신한은행 관계자는 “올해 시행될 개인정보보호법, 금감원 내부통제 규정 준수를 위해 보안정책 개선 및 투자를 계획중”이라고 밝혔다.
신한은행은 보안 담당자 교육도 확대할 계획이다.
제2금융권 가운데 비씨카드는 최근 신용정보관리와 정보보호 업무를 총괄하는 정보보안실을 신설했다.
또 A캐피탈은 현대캐피탈 사건 이후 필수 인력만 메인서버에 접근할 수 있도록 조치했다.
한편 잇따른 전산사고로 인해 금융권에서는 정보보호최고책임자(CSO) 도입이 거론되고 있다.
한 시중은행 관계자는 “CSO는 보통 CIO(IT최고책임자)가 겸임하는 경우가 많으며, CSO 신설은 효율성을 잘 따져봐야 한다”며 “정책당국의 움직임이 있으면 협의에 나설 생각”이라고 밝혔다.
정보보호최고책임자는 전자금융거래의 안정성 확보를 위한 전략 및 계획을 수립하고 전산시스템 운용에 필요한 인력관리 및 예산편성 등과 관련된 업무를 수행한다.
정상미 기자 jsm@fetimes.co.kr
