세계 최대의 전문직 헤드헌팅 회사인 로버트 하프 인터내셔널은 최근 아시아 금융기업들이 클라우드 등 금융ㆍIT 변화 및 새로운 사이버 위협에 대응하기 위해 숙련된 IT인력을 늘리고 다양한 환경에서의 보안 모델과 관리 시스템을 이해하는데 주력하고 있다고 발표했다.
우리나라도 전자금융거래 양상이 다변화하면서 안정적인 IT인프라를 확보하기 위한 전문인력 수요가 지속적으로 증가하고 있는 상황이다.
특히 '정보보호최고책임자(CISO) 선임' 등을 골자로 한 전자금융거래법 개정ㆍ시행으로 금융정보보호 강화를 위해 한 발 더 나아가게 된 것은 고무적이라 할 수 있겠다. 하지만 최근 한 언론사가 CISO를 선임한 금융회사를 조사한 결과, 대다수의 금융회사가 CIO와 CISO를 겸직하고 있는 것으로 나타나 'CIO 조직과 CISO가 상호 보완한다'는 본래 취지가 무색해졌다는 의견이 나오고 있다.
금융권은 비용이나 조직개편에 대한 부담도 크지만 당장 자격요건을 갖춘 전문인력 확보가 쉽지 않다는 입장이다. 이와 함께 전체 IT인력의 5% 이상을 보안인력으로 구성하도록 한 금융당국의 가이드라인 준수도 현실적인 어려움이 많다고 하소연한다.
금융보안 전문가는 금융과 IT에 대한 전반적인 지식을 두루 갖춰야 한다. 각종 사이버위협에도 업무연속성을 최대한 보장해야 하는 업무의 특성상 어떠한 공격 유형과 상황에도 신속하게 분석업무를 수행하고, 능동적이고 적절한 대처가 가능한 전문성을 갖춰야 하기 때문이다. 따라서 금융보안 전문가 양성을 위해서는 상당기간 교육과 투자가 뒷받침돼야 하지만 당장 필요한 인력을 확보해야 하는 금융회사 입장에서는 외부 인력에 의존할 수밖에 없다. 게다가 이마저도 턱없이 부족한 실정이다 보니, 금융권의 이유 있는 항변에 공감이 된다. 또한 보안업무의 특성상 현업부서에 비해 소외되는 풍토와 보안사고 발생에 따른 막중한 책임감은 보안인력의 현실을 더욱 어렵게 하고 있다. 최근에는 보안 업무에 대한 규제 및 임직원에 대한 처벌 기준이 강화되면서 회사내 기피 부서로 전락해, 타 부서 이동을 희망하는 담당자가 늘고 있다는 것이 더 큰 문제점이다.
금융보안은 보안기술에 더해 금융, 법적 지식 등이 요구되는 특수 분야다. 숙련된 전문인력을 양성하기 위해 중ㆍ장기적인 관점에서 학계와 연구계 등이 협력하여 지속적으로 교육과정 및 프로그램을 신설 개발할 필요가 있다.
금융회사 등 각 업계도 금융ㆍIT보안 인력이 업무에 집중할 수 있도록 보안 인력의 처우 개선 및 지속적인 교육훈련에 대한 노력이 반드시 수반돼야 할 것이다. 다행히 최근 금융당국이 정보보호 안전성을 준수한 금융사에게는 별도의 인센티브를 주거나 내부 보안인력 개인 별도 포상제도 등 다각적인 지원 방안을 마련할 것이라고 밝혔다.
향후 보안인력 처우개선 및 수준제고에 긍정적인 움직임이 있을 것으로 보인다.
아무리 뛰어난 보안 솔루션과 위기대응 매뉴얼, 조직 체계가 있다 한들, 이를 효과적으로 수행할 수 있는 보안전문 인력이 없다면 무용지물일 것이다. 보안전문 인력의 업무 만족도를 높이고 동기부여가 될 수 있도록 장기적인 안목에서 인력양성 프로그램을 가동하고 합당한 보상시스템 등을 갖추는 것이 필요하다. 바로 이들이 우리나라의 금융시스템을 든든히 지탱해 나가는 전문가들이기 때문이다.
김광식 금융보안연구원 원장
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>