(사진=이미지비트 제공/자료사진)
신용카드사 고객정보 유출 사건 이후 정부가 대책으로 제시한 '금융보안 전담기구 설립' 방안이 표류하고 있다. 이해관계자들의 반발이 심한 데다 금융보안 전문가들도 정부안에 대해 고개를 갸웃거리고 있기 때문이다.
금융위원회는 카드사 고객정보 유출 사고 직후인 지난 2월 전자금융 보안전담 기구 설립방안을 발표했다. 금융결제원과 코스콤이 각각 운영하고 있는 정보공유분석센터(ISAC)를 보안연구 기능을 담당하고 있는 금융보안연구원으로 이관해 통합운용한다는 내용이다.
ISAC은 인터넷 트래픽을 실시간으로 감시해 해킹과 디도스 공격 등 전자적 침해사고 가능성을 파악하고, 침해사고가 발생했을 경우 관련정보와 대응책을 공유해 피해확산을 방지하는 기능을 한다. 통상적으로 보안관제로 불리는 기능이다.
현재 금융결제원이 시중은행 등 80여개사와 접속해 은행권을 보안관제하고 있으며 코스콤은 증권사 40여개 등과 연결돼 증권망을 감시하고 있다.
금융위는 "금융결제원과 코스콤, 금융보안연구원 등의 역할이 중복되는 데다 결제원과 코스콤에게 보안관제 기능은 부수업무여서 효율성이 떨어진다"며 ISAC기능의 금융보안연구원 이관을 추진하고 있다. 금융결제원과 코스콤의 ISAC기능을 가져와 금융보안연구원을 확대개편해 빠르면 내년 1월쯤 금융보안 전담기구를 출범시키겠다는 방침이다.
하지만 금융위의 이같은 방침이 계획대로 진행될지는 미지수이다. 우선 금융결제원과 코스콤 노동조합의 반대가 크다. 이들 노조는 'ISAC기능은 부수업무가 아니라 본질적 업무로서, 다른 곳으로 이관할 수 있는 업무가 아니다'는 입장이다. 금융결제원이나 코스콤 모두 지급결제망을 관리하는데 있어 보안관제는 필수적이며, 국제결제은행과 국제증권위원회기구가 공동제정한 국제기준도 이같은 점을 명확히 하고 있다는 입장이다.
이들 노조는 또 설사 ISAC기능을 금융보안연구원으로 이관한다 해도 금융결제원이나 코스콤은 별도로 ISAC을 운영할 수밖에 없어 금융보안 전담기구가 설립될 경우 오히려 '옥상옥'의 비효율을 초래할 것이라고 우려하고 있다.
이어 보안관제 기능을 집중할 경우보다 분산하는 경우가 해킹피해에 더욱 효과적으로 대처할 수 있다고 보고 있다.
(사진=이미지비트 제공/자료사진)
일부 정보보안 전문가들도 정부 정책에 의구심을 표시하고 있다. 고려대학교 정보보호대학원 김승주 교수는 금융위 방침이 타율규제에서 자율규제로 가는 시대흐름에 역행하는 것이라고 밝혔다. 김 교수는 "ISAC은 원래 민간소유 주요기반시설을 보호하기 위해 자율적으로 설립된 민간기구"라며 "날로 진화하는 침해사고에 대응하기 위해서는 컨트롤타워와 함께 각 영역별로 존재하는 ISAC이 공존해야 한다"고 밝혔다.
김 교수는 한국인터넷진흥원(KISA)의 통신ISAC 기능이 역할 강화를 위해 지난 2006년 오히려 분리독립해 별도의 법인을 만들었다며 정부의 금융 ISAC통합 방침을 비판했다.
김 교수는 "(정부가 금융보안 전담기구로 육성해온)금융보안연구원을 강화하려면 (ISAC 기능 통합보다는) 예산을 투자하고 법적 근거를 마련해주는 것이 우선"이라며 "이같은 기반 아래 수평구조와 수직구조를 조화시키는 방식으로 ISAC 기능을 조화시켜야 한다"고 밝혔다.
이같은 반론에 대해 금융위는 기존 방안을 예정대로 추진한다는 계획이다. 금융위 관계자는 "금융보안 전담기구가 차질없이 추진되고 있다"며 "예정대로 ISAC기능을 통합한 전담기구가 내년 문을 열 것"이라고 밝혔다.
하지만 금융위의 이같은 희망에도 불구하고 전담기구 설립을 위한 현장실사도 노조의 반대로 이뤄지지 못하고 있어 실제로 전담기구가 제때 출범할지는 지켜봐야 할 전망이다.