금융권을 상대로 한 랜섬웨어 등의 해킹 우려가 전 세계적으로 확산되고 있지만 국내 금융사들의 정보기술(IT)보안 투자 수준은 제자리걸음인 것으로 나타났다.
3일 금융감독원이 국회에 제출한 ‘15개 은행의 연도별 IT 예산 및 IT보안 예산’ 자료에 따르면 수출입은행과 산업은행을 제외한 15개 민간 은행의 지난해 총 IT 관련 예산은 2조6,489억원으로 그중 10.7%인 2,830억원이 보안 예산인 것으로 집계됐다.
하지만 전체 IT 예산 가운데 보안 예산의 비중은 거의 늘지 않고 있다. 실제 지난 2014년 말 총 IT 예산 대비 IT보안 예산 비중은 10.6%로 2년간 증가한 보안 예산 비중은 겨우 0.1%포인트에 불과하다. 온라인·모바일뱅킹이나 인터넷전문은행 출범, IT와 금융을 결합한 핀테크 확산 등이 급속히 이뤄지면서 이들 IT 분야 투자는 늘고 있지만 보안 예산은 오히려 뒤처지고 있는 것이다.
특히 10%대 불과한 국내 은행의 IT보안 예산은 미국(40%)이나 영국(50%) 등 선진국에 비해서도 턱없이 부족하다는 지적이다. 2011년 금융당국이 ‘5·5·7 감독규정’에 따라 IT보안 예산을 7% 이상으로 유지하도록 권고해온 만큼 시중은행들이 이를 턱걸이 수준으로 지키고 있지만 최근 랜섬웨어 공격과 같은 치명적인 해킹에 대비하기 위한 보안 예산으로는 부족한 게 아니냐는 우려가 나오고 있다. 금융권의 한 관계자는 “IT 예산이라는 건 정의가 모호한 만큼 실제 IT에 사용된 예산을 다른 예산으로 넣어 이 비율을 얼마든지 부풀릴 수 있다”며 “자세히 뜯어보면 보안 예산 비중이 10%가 안되는 곳도 있을 것”이라고 지적했다.
은행 입장에서는 신규 IT 서비스를 내놓을 경우 당장 신규 고객을 창출하거나 홍보 효과를 낼 수 있지만 보안 예산은 가시적인 성과를 보기 어려워 필요성에도 불구하고 투자를 꺼리고 있다는 분석이다. 금융권 관계자는 “선진국처럼 (보안 예산이 전체 IT 예산의) 40~50% 수준은 아니어도 적어도 새로 서비스를 내놓았을 때 개인정보 유출 등 리스크를 충분히 감당할 수 있을 정도는 돼야 한다”며 “그러나 경영진의 보안 투자에 대한 의지가 여전히 미약하다”고 말했다. 2009년 ‘7·7 디도스 대란’, 2013년 ‘3·20 사이버테러’ 등 보안 사건이 터질 때만 반짝 관심을 받을 뿐 지나고 나면 그때뿐이라는 것이다. 일부에서는 은행 최고경영진이 보안 예산도 고객을 위한 투자 개념으로 생각하고 직접 챙겨야 할 필요가 있다는 지적이 나온다.
/이주원기자 joowonmail@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
