해킹에 따른 개인정보 유출이나 랜섬웨어 같은 사이버공격이 전 세계적으로 확산되고 있는 가운데 국내 금융사들의 전체 정보기술(IT) 예산 대비 보안에 대한 투자 비중은 10% 내외에 불과할 만큼 미약한 것으로 나타났다. 미국 등 선진국은 이 비율이 40% 정도인 점을 감안하면 아직 갈 길이 멀다는 지적이 나온다.
10일 금융감독원이 국회에 제출한 자료에 따르면 국내 15개 은행의 지난해 IT 관련 예산은 2조6,489억원으로 그중 10.7%인 2,830억원이 보안예산인 것으로 집계됐다. 총예산 대비 IT 보안예산 비중만을 놓고 보면 1%에 불과한 셈이다. IT 예산 대비 보안예산 비중은 NH농협은행이 14.51%로 가장 높았고 신한은행(12.19%), KB국민은행(11.53%) 등의 순이었다. 우리은행의 경우 7.46%로 6대 시중은행 가운데 가장 낮았다. 특히 우리은행의 경우 금융 당국 권고 수치인 7%를 간신히 넘었다.
보안예산 비중이 줄어든 은행도 있다. IBK기업은행의 IT 예산 중 보안예산 비중은 지난 2014년 말 9.45%에서 2015년 말 9.44%, 지난해 말 9.09%로 지속적으로 감소하고 있다. 우리은행 역시 2015년 말 9.42%에서 지난해 말 7.46%로 보안예산 비중이 하락했다.
해커들의 수법은 해마다 교묘해지고 있는 반면 주요 표적이 되는 금융사들의 보안 수준은 제자리걸음이거나 뒷걸음치고 있다는 비판을 피하기 어려운 상황이다.
전문가들은 은행의 보안예산이 게걸음 치고 있는 것은 모바일뱅크 등 새로운 IT 서비스를 내놓을 경우 당장 신규 고객을 창출하거나 홍보 효과를 낼 수 있지만 보안예산은 가시적인 성과를 내기 어려워 필요성에도 불구하고 투자에 인색하다고 지적했다. 금융권 관계자는 “경영진이 단기 성과에 집중하다 보니 장기적인 전략이 필요한 보안예산은 후순위로 밀리기 쉽다”며 “임기 중 사고만 터지지 않으면 되는데 생기지도 않는 사고를 염려해 막대한 예산을 낭비할 수 없다는 인식이 금융사 경영진의 공통된 생각인 것 같다”고 말했다.
반면 미국·영국 등 선진국은 보안예산이 전체 IT 예산의 40% 이상을 차지할 정도다. 미국의 경우 버락 오바마 정부 시절 정부 차원에서 중국 등과의 사이버전쟁에 대비해 예산을 여섯 배나 늘리기도 했다. 유럽은 내년 5월부터 역사상 가장 엄격한 개인정보보호 규정으로 평가되는 ‘유럽 일반정보보호 규정’을 시행할 계획이다. 규정에 따르면 유럽에서 활동하는 기업이 해킹을 당했을 때 72시간 내에 정해진 조치를 취하지 못하면 회사 연매출의 4%를 벌금으로 내야 한다. 업계 관계자는 “실제로 미국과 영국의 IT 예산 중 보안예산 비중은 40~50% 수준”이라며 “한국에서도 사후약방문식의 악순환을 끊기 위해서는 국가 차원의 대응 방안과 지원 대책이 필요하다”고 말했다.
/이주원기자 joowonmail@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
