 |
[컨슈머타임스 김새미 기자] 최근 대규모 정보유출 사태를 겪은 KB국민카드와 롯데카드가 2012년 정보보호 예산을 절반가량만 집행한 것으로 나타났다.
특히 이들 회사가 금융당국이 정한 '5·5·7룰'을 간신히 넘긴 것을 두고 정보보호 부문 가이드라인의 면피성 준수가 금융사고를 키운 한 원인이라는 지적도 나온다.
12일 금융감독원이 국회 정무위원회 김재경 의원에게 제출한 국정조사 자료에 따르면 비씨·삼성·국민·신한·우리·하나SK·롯데·현대 등 8개 카드사는 2012년 정보보호 예산으로 805억5400만원을 책정했다.
하지만 이들 카드사가 실제로 집행한 금액은 497억8600만원으로 책정액의 61.8%였다.
특히 국민카드와 롯데카드의 정보보호 예산 집행률은 각각 42.4%, 55.6%로 업계 최하위였다.
이들 두 카드사는 금융당국의 '5·5·7룰' 중 '7%룰'도 간신히 맞췄다.
2011년 만들어진 5·5·7룰은 금융사가 전체 인력의 5% 이상을 정보기술(IT) 인력으로, IT 인력의 5%를 정보보호 인력으로 운용하고 IT 예산의 7%는 정보보호에 쓰도록 하는 가이드라인이다.
2012년 IT예산 중 정보보호 예산이 차지하는 비중은 롯데카드가 7.1%, 국민카드가 7.2%로 가이드라인을 겨우 넘긴 수준이다. 역시 업계 최하위다.
지난해 전체 인력 가운데 IT인력 비율과, IT인력 중 정보보호 인력 비율은 국민카드가 각각 8.6%와 10.1%로 업계 평균인 9.1%, 10.2%와 비슷했다.
롯데카드의 경우 IT인력 비중이 6.1%로 업계 꼴찌였지만 정보보호 인력 비중은 14.4%로 하나SK카드에 이어 최상위권이었다.
보험업계는 2012년 IT예산 집행률이 58.0%, 정보보호 예산 비율이 8.9%로 카드업계보다 더 낮았다.
개별 보험사 중 롯데손해보험, 교보생명, KB생명의 정보보호 예산집행률은 각각 31.1%, 34.2%, 46.1%로 모두 50% 이하였다. 농협생명, 동양생명, 삼성생명은 정보보호 예산 비율이 각각 3.5%, 6.6%, 6.8%로 7%를 밑도는 비율이었다.
은행권은 정보보호 예산 집행률이 평균 75.1%로 비교적 높았다. 7%룰을 지키지 못한 곳은 3.6%인 수협은행뿐이었다.
일각에서는 정보보호 부문 투자에 인색한 금융사들이 당국의 가이드라인을 '면피용'으로 활용하는 게 아니냐는 지적도 나온다. 가이드라인을 지키는 것을 정보보호 책임을 다하는 것으로 인식해서는 안된다는 것이다.
금융사고가 터질 때마다 언급되는 규정 강화보다는 금융사가 가이드라인을 얼마나 제대로 지키는지 당국이 관리하는 게 중요하다는 주장도 나온다.
새누리당 김재경 의원은 "금융당국은 금융사들이 '숫자'가 아닌 규제의 '내용'까지 충실하게 지키는지 감독할 필요가 있다"고 지적했다.
고려대 정보보호대학원 임종인 원장은 "보안 인력 숫자만큼이나 이들이 관리 능력을 갖췄는지도 중요한데 현재의 5·5·7룰은 형식적으로 지켜지고 있다"며 "금융당국은 규정이 실질적으로 이행되도록 관리·감독해야 한다"고 말했다.
이어 "보안등급 공시제 등을 통해 정보보호에 힘쓰는 금융사는 인센티브를 주고 금융사끼리 선의의 경쟁을 하게 하는 것도 좋은 방법"이라고 제안했다.
