[딜사이트 강울 기자] 금융위원회가 SGI서울보증·롯데카드 해킹 사태 등 최근 잇단 정보 유출 사태와 관련해 전사적 차원의 금융보안 역량 강화를 주문했다. 금융권을 겨냥한 사이버 위협에 내부 체계를 마련하라는 게 골자다.

금융위는 23일 서울 여의도 KB국민은행 신관에서 권대영 부위원장의 주재로 '금융권 CISO 대상 긴급 침해사고 대응회의'를 비공개로 개최했다. 금융감독원의 수석부원장은 물론 금융보안원 및 7개 금융협회등 유관기관과 은행, 금투, 보험 등 금융회사 CISO(정보보호 최고책임자) 180여명이 참석했다.

권 부위원장은 모두발언에서 "금융의 디지털화가 급속하게 진전돼 AI를 활용한 비대면 금융서비스, 클라우드 기반 근무환경 등 사실상 모든 업무가 전산시스템에 의존하게 됐다"며 "침해위협이 치밀하고 교묘하게 진화했다"고 진단하며 회의를 시작했다.

금융위는 ▲최고경영진 책임 하 금융보안 역량 및 운영복원력 확보 ▲체계적인 보안시스템 구축‧운영, 미비 시 엄정 제재 ▲소비자 피해 발생 시 즉각적인 대응 프로세스 마련을 핵심 과제로 제시했다.

우선 금융권에 최고경영진 책임 하에 금융보안 역량을 강화하고 운영 복원력을 확보할 것을 주문했다. 특히 업무와 서비스 설계 단계부터 보안을 최우선적으로 고려해 시스템 안전성을 확보하고, 체계적인 보안시스템 구축과 운영을 철저히 하도록 강조했다.

또한 감독기관에도 역할을 당부했다. 권 부위원장은 "금융감독원과 금융보안원은 금융회사의 점검 결과를 확인하고 꼼꼼히 지도·감독해 철저한 관리가 이뤄지도록 해달라"고 당부했다.

이어 체계적인 보안시스템 구축과 운영을 촉구하며 미비 시에는 엄정한 제재를 예고했다. 특히 CEO에게 CISO가 독립적으로 보안을 점검·관리할 수 있도록 보장하고 전산 보안 인력과 설비를 충분히 갖추는 한편, 보안 관리 자체를 CEO 본인의 핵심 업무로 인식해야 한다고 주문했다.

그간 금융권에서는 CISO의 의사결정권과 예산 편성 권한 등 독립성을 강화해야 한다는 지적이 잇달았다. 이번 회의에서 금융위 역시 이러한 구조적 한계를 인정하며 문제의식을 공유한 것이다. 실제 한 금융권 CISO는 "현실적으로 그동안 CEO 밑에 있는 조직 구조 탓에 CEO의 결정 권한을 벗어나기 어렵다"고 토로했다.

또 소비자 피해 발생 시 즉각적인 대응 프로세스를 마련할 것을 주문했다. 운영 복원력의 중요성을 환기하며 업무연속성계획(BCP)을 최신 상태로 유지하고 실제 복구 훈련을 통해 실효성을 확보해야 한다고 당부했다.

권 부위원장은 "정확한 사실을 신속히 정부와 유관기관, 고객에게 알리고 상황에 맞는 피해 복구와 구제 조치를 취하는 것이 무엇보다 중요하다"고 강조했다.

금융위는 향후 침해사고 예방과 보안 역량 강화를 위해 신속한 보안 유의사항 전파와 적시 점검을 이어가는 한편, 징벌적 과징금, 보안수준 비교 공시, CISO 권한 강화 등 제도 개선도 속도감 있게 추진한다는 계획이다.

이날 회의를 두고 금융권에선 이례적이라는 평가다. 은행권 CISO는 "자주는 아니지만 당국과 CISO 회의가 있어 왔다"면서도 "어제 갑자기 연락을 받고 바로 회의에 참석하게 됐다"며 이번 소집이 롯데카드·SGI서울보증 정보 유출 사태를 금융위가 그만큼 심각하게 보고 있다는 뜻이라고 해석했다.

CISO들은 현장에서 나름의 보안 노력이 이어지고 있다고도 강조했다. 한 은행권 CISO는 "금융사들이 정보보호 예산을 줄였다는 얘기가 나오지만 실제로는 그렇지 않다"며 "보안 체계 유지 노력은 잘 이뤄지고 있다"고 말했다.

다만 금융위의 강력한 주문과 별개로 현장에서는 과중한 업무라는 현실적 제약이 존재한다는 지적도 나왔다. 한 PG사 CISO는 "매뉴얼이 잘 마련돼 있어도 현장에서는 어려운 점이 많다"며 "CISO가 애초에 맡고 있는 업무 자체가 과중하다"고 토로했다.