금융전산 보안 강화 종합대책, ‘실보다 득많다’

아주경제 장윤정 기자 = 11일 금융위원회가 발표한 ‘금융전산 보안 강화 종합대책’에 대한 업계의 평가는 대체적으로 긍정적이다.

업계 관계자들은 “금융권에서 지난 3·20 보안사고 이후 추진해왔던 보안 대책들이 이번 금융위 금융전산보안종합대책에 거의 담겼다”며 특별히 실행에 무리가 있는 정책은 없다는 입장이다.

◆ 물리적·논리적 망분리 선택적 시행 가능

우선 업계가 우려했던 물리적 망분리 전면 도입으로 인한 천문학적인 비용 투자는 물리적 망분리를 전산센터에 국한하고 본·지점 등 영업장은 업체 형편에 따라 물리적, 논리적 망분리를 선택적으로 적용토록 유연성을 발휘했다. 시행 시점 역시 2014년 이후로 여유를 뒀다.

성재모 금융보안연구원 본부장은 “이미 전산센터에 물리적 망분리를 적용한 제 1금융권들이 상당해 이번 결정에 이견이 없을 것”이라며“영업점에 대해서는 물리적, 논리적 망분리를 선택적으로 적용할 수 있기 때문에 비용 투자에 대한 부담을 덜었다”고 말했다. 그는 “금융전산망을 용도별로 분리 운영하는 등 실효성 있는 정책들로 시장에서 효과를 발휘할 것”이라고 평가했다.

금융전산 보안 협의회를 설치해 사고발생 시 ‘컨트롤타워’를 강화하기로 결정도 그간 금융결제원, 코스콤, 금융보안연구원 등 금융보안 관련기관의 역할 중복으로 인한 비효율을 개선하기 위해 적절한 조치라는 평가다.

◆금융권 공동 백업전용센터 신중히 접근해야

다만 금융권 공동 백업전용센터를 별도로 구축하는 방안의 실효성에 대해서는 좀 더 신중한 접근이 필요하다는 지적이다.

서춘석 신한은행 본부장(CISO)은 “기존 재해복구센터외에 제 3의 백업센터가 반드시 필요한지, 고객정보보호와 데이터운영, 센터 운영에 대한 비용투자 등 고려해야할 요소가 많다”며 “시간을 두고 정부와 금융권이 충분히 논의할 필요가 있다”고 평했다.

또 서 본부장은 “금융보안관리체계 인증제도가 기존 정보보호 관리체계 국제 표준(ISO/IEC 27001) 등 기존 인증제도와 어떤 차이가 있으며 어디까지 포함하는지 모호하다”며 금융보안관리체계 인증제도에 대한 상세 논의도 진행되어야한다고 지적했다.

이동훈 고려대학교 정보보호대학원 교수는 “가장 중요한 것은 정책 발표에 그치는 것이 아니라 정책이 제대로 시행되고 있는지 정부의 지속적인 관리 감독이 선행돼야한다”며 “최근 금융권을 노린 해킹, 보안사고가 더욱 심화되고있는 만큼 이번 정책이 실효성을 거둘 수 있도록 정부, 금융권, 사용자 모두 기본에 충실해야한다”고 말했다.