[프리즘]고식지계(姑息之計)

고식지계(姑息之計). 잠시 모면하는 일시적 계책이란 뜻이다. 근본 해결책이 아니라 임시방편이나 당장 편안한 것을 취하는 꾀나 방법을 가르칠 때 쓴다. 시자에 은나라 주왕이 노련한 사람의 말을 듣지 않고 부녀자나 아이 말만 들었다는 구절에서 유래된 말로 눈앞의 이익만 보는 사람의 말을 들으면 화를 입을 수 있다는 의미다.

금융 감독 당국의 정보보호 정책을 보면 고식지계라는 말이 떠오른다. 금융위원회·금융감독원 등 감독당국은 최근까지도 금융권 정보보호 정책을 마구 쏟아냈다. 발표된 정책만도 셀 수 없을 정도로 많다. 이정도면 금융권 정보보호는 완벽해야 한다. 그러나 여전히 금융권 정보보호는 바람 앞에 촛불처럼 위태롭다.

왜일까. 근본적인 해결보다는 당장 여론만 피하면 된다는 식으로 정책을 만들었기 때문이다. 과거 농협 전산망 마비 후 전자금융감독규정을 개정, 전체 인력 대비 정보기술부문 인력 5%, 정보기술인력 대비 정보보호 인력 5%, 정보보호 예산을 정보기술 예산의 7%로 하도록 했다. 재해·재난 시 업무 복구 시간을 은행·증권 3시간, 보험 등은 24시간으로 규정했다. 그러나 모두 권고사항일 뿐 의무사항이 아니다. 일부를 제외하고는 대부분 형식적인 수준으로만 갖췄다.

데이터베이스(DB) 암호화도 의무 적용하도록 했지만, 아직 유예기간 조차 명확하게 정하지 않은 상태여서 상당수 금융회사는 적용하지 않고 있다. 이상징후거래시스템도 금융회사 모두 구축하도록 권고했지만, 시스템 구축 기준을 명확히 제시해주지 않아 금융회사한테 혼란만 야기 시켰다. 금감원은 우리나라 금융회사가 열람할 수 없는 미국 연방준비은행(FRB) 산하 지침을 준수하라는 말만 하고 있다.

최고정보보호책임자(CISO) 제도 도입도 마찬가지다. 최고정보책임자(CIO)가 여전히 CISO를 겸직해 근본적 대책 마련에 한계를 겪는다. 전담 CISO도 CEO급으로 전사 정책을 제시하는 데 아직은 한계가 있다. 고식지계 정책이 또 다른 대형 금융 정보보호 사고를 일으킬 수 있다는 점을 명심해야 한다.

신혜권기자 hkshin@etnews.com