“아니, 그러면 안이 나오고 나서 봐야지, (금융)사이버(안전)센터를 어떻게 할지 계획도 없는데 법안부터 먼저 (처리)하는 것은 좀 적절하지 않은 것 같은데요.”
올해 2월21일 국회 정무위원회 법안심사소위원회에서 김기식 새정치민주연합 의원이 목소리를 높였다. 금융사이버안전센터 지정 근거를 명시하는 내용의 전자금융거래법 개정안을 심의하는 자리였다.
19대 국회 상반기 정무위원장이던 김정훈 새누리당 의원이 대표발의한 개정안은 명목상 센터를 지정할 근거를 명시하는 것이지만 실제로는 센터 설립 근거를 마련하는 내용을 담고 있다.
정부가 금융보안전담기구를 센터로 지정할 계획이었기 때문이다. 금융보안전담기구는 금융결제원·한국증권전산(코스콤)이 운용하는 금융 정보공유분석센터(ISAC)를 떼어 내어 금융보안연구원과 통합하는 방식으로 설립된다. 금융사이버안전센터와 금융보안전담기구는 일란성 쌍둥이인 셈이다. 현재까지 정황상 금융보안연구원이 두 기관의 금융ISAC을 흡수해 전담기구 역할을 맡을 가능성이 높다.
금융보안전담기구가 뭐기에
금융보안전담기구는 2월 금융위원회의 대통령 업무보고 때 처음 얘기가 나왔다. 업무보고의 앞머리를 차지한 전담기구에 대해 신제윤 금융위원장은 2015년 설립을 목표로 ‘보안전담기구 설립 TF’에서 올해 6월 말까지 세부 설립방안을 마련하겠다고 보고했다.
금융위 업무보고는 3월 정부합동으로 발표한 ‘개인정보 유출 재발방지 종합대책’으로 구체화됐다. 전자금융거래법을 개정해 금융전산 보안관제 범위를 은행·증권에서 보험·카드까지 확대하고, 전자금융감독규정을 개정해 침해사고 접수창고를 전담기구로 일원화하겠다는 것이다. 정부의 전자금융거래법 개정안이 바로 김정훈 의원이 발의한 그 개정안이다.
정부가 규정 개정과 법 개정 두 방향으로 계획을 튼 것은 야당이 법 개정에 미온적인 태도를 보였기 때문으로 풀이된다. 종합대책 발표 전인 2월25일 정무위 법안소위를 보자. 이번에도 김기식 의원은 “통합 계획이 확정되면 그때 가서 논의하자”는 취지로 발언했다. 정찬우 금융위원회 부위원장이 “특정기관을 (지정)해야 된다는 게 아니라 어떤 기관을 선정할 수 있는 근거를 마련하는 것이기 때문에 지금 통과되나 나중에 통과되나 별 차이는 없다”며 “통합기구가 안 된다고 하더라도 (다른 기관을) 지원하는 대안도 가능하다”고 설득했지만 성공하지 못했다. 정 부위원장은 이전 회의에서 “통합기구인 전담기구가 아니라 코스콤을 센터로 선정할 수 있다”는 뜬금없는 얘기를 하기도 했다.
법안은 5월1일 정무위 전체회의에서 통과 직전에 무산됐다. 이번에는 강기정 새정치민주연합 의원이 나섰다. 사이버센터 관련 내용은 4월 법안소위에서도 야당 의원들의 반대에 부딪혔다. 그런데 개인정보 유출 종합대책과 관련한 여러 전자금융거래법 개정안을 통합한 위원회 대안에 사이버센터 관련 내용이 들어가면서 논란이 불거졌다.
강기정 의원은 “금융사이버안전센터는 6월에 TF를 구성해서 결과를 보고 이후에 설치 여부를 결정하자고 했는데 (개정안 대안에) 들어가 있다”며 문제를 제기했다. 센터와 관련된 내용은 결국 빠졌다.
업무중복 해소하랬더니, 통합부터 하자?
법안이 가로막히자 정부는 전자금융감독규정 개정에 집중했다. 지난달 23일에 열린 ‘개인정보 유출 재발방지 종합대책 이행 점검회의’에서는 전담기구 설립과 관련한 내용이 보고됐다. 4월에 금융전산보안 전담기구 설립을 위한 설립추진위원회가 구성됐고, 자산·회계실사를 위해 컨설팅 용역을 추진 중에 있다는 내용이었다. 용역은 5월부터 8월까지 진행하기로 했다. 용역 결과를 토대로 구체적인 설립 방안을 마련하겠다는 취지다.
애초 6월까지 설립방안을 마련하겠다는 계획은 이미 틀어졌지만 한번 속도를 내기 시작한 통합작업은 가속도가 붙었다. 설립추진위는 곧바로 컨설팅업체를 선정했다. 컨설팅 범위는 △금융전산 보안전담기구 설립방안 연구 △통합대상 관련기관 회계·자산 실사와 분석 △통합대상 관련기관 시스템 이전·구축 컨설팅으로 잡혔다. 1차 보고회는 6월9일, 2차 보고회는 7월7일, 최종 보고회는 8월11일로 정했다. 컨설팅업체로는 삼일PwC가 선정된 것으로 전해졌다.
그러나 통합 대상인 코스콤과 금융결제원 노동자들이 제동을 걸었다. 코스콤노조와 금융노조 금융결제원지부는 26일 삼일PwC의 하청을 받은 IT업체 ㄷ사의 실사를 막았다. 노조 관계자는 “기밀 정보를 실사 명목으로 외부에 반출해서는 안 된다”고 지적했다.
실사가 늦어질 가능성이 높아진 것이다. 두 노조는 전담기구 설립이 중복비용과 중복투자를 낳을 것으로 우려하고 있다. 금융결제원지부 관계자는 “전담기구 신설보다 십수년간 전문적이고 안정적으로 발전시켜 온 노하우와 인프라의 장점을 극대화하는 것이 바른 해법”이라고 설명했다.
두 노조의 주장은 최근 감사원 감사 결과를 볼 때 틀린 얘기가 아니다. 감사원은 4월에 발표한 ‘금융권 정보보호 및 사이버안전 관리감독 실태감사 결과보고서’에서 금융ISAC 관련 중복 문제를 지적했다. 감사원에 따르면 금융ISAC 업무를 침해한 쪽은 금융보안연구원이다.
감사원은 “금융위가 2012년 연구원에 대한 종합감사를 실시해 금융ISAC 업무를 중복수행하고 있다는 사실을 알면서도 단순히 개선통보만 했을 뿐 중복해소 여부를 확인하지 않았다”고 지적했다.
2005년 5월 발생한 공인인증서 해킹사고 대응책으로 2006년 6월 금융보안연구원을 설립할 당시 정관을 허가하면서 금융ISAC과 업무가 중복되지 않도록 규정했는데 이를 어겼다는 것이다. 감사원은 특히 금감원에 대해 “금융ISAC 업무와 기능조정을 담당하는 사무국 역할을 수행하면서 금융ISAC 가입을 요청하는 금융회사에게 가입요청 통보만 해 주고 있을 뿐 사무국으로서 업무·기능조정 역할을 제대로 하지 않고 있다”고 평가했다.
금융위가 대통령에게 전담기구 설립을 보고하면서 “금융보안연구원·금융결제원과 코스콤에 산재된 금융전산 보안기능 조정을 통해 중복·비효율을 해소하고 금융IT 정책·감독을 보완하겠다”고 밝힌 목표가 무색해진 셈이다. 중복·비효율의 원인을 제공한 금융보안연구원을 중심으로 피해자인 금융ISAC을 통합하겠다고 계획했으니 말이다.
금융권에서는 전담기구에 대해 “금피아(금융관료+마피아)의 자리 만들기 아니냐”는 뒷말이 나오고 있다. 금융보안연구원장 자리는 금감원 간부급이 퇴직한 후 가던 자리인데, 최근 임명된 원장은 부원장보 출신으로 기존 국장급에서 한 단계 격상됐다.
금융ISAC 통합, IT대란 부를 수도
금융ISAC을 전담기구에 통합하면 정부 생각과는 정반대의 결과를 낼 수 있다는 우려도 나오고 있다. 김승주 고려대 정보보호대학원 교수는 “정부가 거꾸로 가고 있다”고 일갈했다. 김 교수는 “모든 기관이 인터넷으로 연결돼 있는 현대 시스템에서는 관 주도 보안대응은 불가능하다”며 “주요 국가에서 민간 주도의 금융ISAC이 소통하는 수평적인 구조와 정부 주도의 수직구조가 촘촘하게 맞물리게 보안시스템을 만드는 이유”라고 설명했다. 그는 “금융ISAC을 통합해 전담기구를 컨트롤타워로 하면 결국 민간 금융ISAC은 비게 된다”며 “수평구조는 사라지고 수직구조만 남아 (보안) 대란이 발생할 수도 있다”고 경고했다.
정윤성 금융결제원지부 위원장은 “금융정보 유출과 같은 재난이 닥쳤을 때 제대로 된 대응체계를 만드는 것은 당연하지만 지금은 재난에 대한 인식과 해결방안 사이에 상관관계가 전혀 없다”며 “정부가 과연 무엇을 위해 무리하게 밀어붙이기를 하는지 의심스럽다”고 비난했다.
감사원은 4월 감사 결과보고서에서 금감원과 금융위의 검사·감독 부실을 지적하며 주의조치를 내렸다. 금융회사가 보안규정을 준수하지 않아 보안에 취약하다는 내용을 통보받고도 검사를 제대로 하지 않았고, 용역업체 보안관리와 관련한 규정 운용을 부적정하게 했다는 것이다.
감사 결과 발표는 4월이었지만 감사원 감사가 개인정보 유출사태 이전인 지난해 11월에 이뤄졌다는 것을 감안하면 개인정보 유출사태의 원죄가 금융당국에 있다고 볼 수 있다. 개인정보 유출사태는 용역업체 직원이 허술한 정보보호 시스템을 이용해 금융정보를 빼낸 것에서 비롯됐기 때문이다. 전담기구 설립 이유 중 하나인 ‘금융IT 정책·감독 보완’은 금융ISAC 흔들기가 아니라 금융당국 스스로 변화하는 것에서 시작해야 한다는 목소리가 힘을 얻고 있다.