금융사, 보안사고 왜 났나 했더니

금감원 권고 5%룰 `무시`

📁관련 통계자료 다운로드최근 3년 금융기관별 IT예산 및 정보보호 예산 내역

 IT 예산 중 정보보호 예산을 5% 확보해야 하는 ‘보안예산 5% 룰’을 지킨 금융사는 극히 일부에 불과했다. 5% 룰은 2009년 7·7 분산서비스거부(DDoS) 공격 사태로 금융감독당국이 금융권 보안투자 확대를 위해 취한 조치다. 시행 첫해부터 금융사에서 이행하지 않고 있는 셈이다.

 14일 전자신문이 이성헌 의원실(한나라당)로부터 입수한 ‘최근 3년 금융기관별 IT 예산 및 정보보호 예산내역(2010년 9월 15일 기준)’에 따르면 국민·신한·하나·기업·농협·외환·SC제일은행 7개 주요 시중은행 가운데 지난해 5% 룰을 지킨 곳은 126억2500만원을 IT 보안 예산에 편성한 신한은행이 유일했다. 신한은행은 배정액 기준으로 지난해 IT 총예산으로 2235억원2600만원을 설정해 IT 보안 예산 비중이 5.6%를 나타냈다. 우리은행은 아예 자료에 포함시키지 않았다.

 금감원은 현재 보안 예산 5% 룰을 권고만 하고 있으며, 현대캐피탈 해킹 사태를 계기로 앞으로 금융기관 경영평가에 반영하겠다는 방침이다.

 SC제일은행은 지난해 IT 보안 예산으로 11억9700만원을 편성해 IT 총예산(759억800만원)의 1.6%에 불과했으며 외환은행도 IT 총예산 1350억8500만원 가운데 IT 보안 예산은 1.1%인 14억5300만원에 그쳤다. 이 밖에 국민은행과 하나은행의 IT 보안 예산이 각각 103억5600만원과 39억4800만원으로 IT 총예산 대비 2.5%와 3.0%를 나타냈다. 농협과 기업은행도 IT 보안 예산 비중이 2~2.1% 수준이었다.

 지방은행 등을 포함한 은행 전체의 IT 보안 예산 비중은 지난해 3.4%였다. 16개 시중은행을 대상으로 조사한 것으로 IT 투자규모는 총 1조7970억원이었으며 이 중 보안 예산은 607억원이었다.

 카드사 또한 지난해 5% 룰을 지킨 곳은 롯데카드(7.8%) 한 곳에 불과했다. 삼성카드 자료가 빠진 가운데 롯데·현대·비씨·신한카드 4곳의 지난해 IT 보안 예산은 67억7900만원으로 전체 IT 보안 예산 대비 3.6%를 기록했다.

 증권사는 자료가 파악된 25곳 가운데 지난해 5% 룰을 지킨 곳은 대신·신영·유진투자·한화·HMC투자·솔로몬투자·NH투자·동부·하나대투·이트레이드·우리 11곳이었다. 25곳 전체 증권사의 지난해 IT 보안투자 규모는 258억2100만원으로 전체 예산의 3.1%였다.

 이 밖에 생명보험사 22곳과 손해보험사 16곳의 지난해 평균 IT 예산 중 IT 보안 예산 비중은 모두 2.7%로 5% 룰에 크게 못 미쳤다.

 이성헌 의원은 “최근까지 금감원 국감 시 IT 예산안과 보안 예산안 등을 조사해 지적해왔지만 실제로 집행한 투자비가 예산안보다 적었다”며 “이에 따라 올해부터는 실제 집행한 결산안을 중심으로 지적, 금융권 전반의 보안 투자 비용을 늘리도록 유도할 것”이라고 말했다.

 금융사들은 매년 일률적으로 5% 룰을 지키는 것이 힘들다는 항변이지만, 이를 감독당국이 경영평가에 반영하면 따를 수밖에 없다는 반응이다. 금융사 관계자는 “보안 예산이 고가의 장비를 구매하는 해가 있어 매년 들쑥날쑥한데 일률적으로 5%를 지키는 게 맞는지 의문”이라며 “내부적으로 안정적으로 보안 예산을 확보할 수 있다는 측면에서는 긍정적”이라고 말했다.

김준배·장윤정기자 joon@etnews.co.kr