`5·5·7 규정` 일몰 후폭풍…커지는 금융권 `디지털 보안 공백`

추석 연휴에 금융권이 잇달아 해킹 공격을 받는 등 디지털 보안 취약성이 드러나고 있지만 금융위원회에 '규제 공백'이 발생하면서 '디지털 보안 사각지대'를 걱정하는 목소리가 커지고 있다.
특히 디지털 보안이 상대적으로 취약한 핀테크 업체들이 은행 금융결제망에 들어온 상황에서 보안 사고가 생기면 은행권 보안 시스템까지 흔들릴 수 있다는 우려가 제기된다.
5일 금융권에 따르면 행정규칙인 전자금융감독규정에 들어 있던 소위 '5·5·7 규정'이 올 들어 일몰됐다. 이 규정에 따르면 금융사와 전자금융업자는 전체 인력 중 5%를 정보기술(IT) 인력으로, IT 인력 중 5%를 정보보호(보안) 인력으로 둬야 한다. 전체 IT 예산 가운데 7%는 정보보호 예산으로 사용해야 한다. 2011년 농협 전산망 마비 사태 이후 도입됐다. 제재 수단이 없는 행정규칙이지만 규정 준수 여부를 공시해야 해 금융사들은 이를 따라야만 했다.
당초 금융위는 감독규정 연장을 고려했으나 전자금융거래법 개정 일정을 고려해 이를 연장하지 않은 것으로 전해졌다. 하지만 올 초 개정을 목표로 했던 전자금융거래법 개정안은 아직 국회에 올라가지도 못했다. 올해 안에 개정안이 국회를 통과하더라도 시행은 내년 하반기로 예상된다. 현재는 최소한의 보안 인력·예산 규제도 없는 상황이다. 금융당국 관계자는 "5·5·7 규정이 획일적인 기준이라는 판단으로 '자율 보안' 형태로 바꾸려고 한 것"이라며 "법 개정 전까지는 금융보안원 '가이드라인'을 지키도록 했다"고 말했다. 이는 말 그대로 가이드라인에 불과하다.
문제는 최소한의 규제가 사라진 상황에서 중소형 핀테크 업체들은 보안 투자를 게을리할 수 있다는 점이다. 업계 관계자는 "은행과 카드사 등 대부분 금융사는 '5·5·7' 규정을 지키지만 핀테크 기업은 이 수준으로 보안에 투자하기 쉽지 않다"며 "핀테크 업체에 사이버 보안 사고가 발생할 위험이 높은 상황"이라고 말했다.
비대면 거래로 보안 위협이 커지는 점도 리스크로 꼽힌다. 지난 6월 비바리퍼블리카가 운영하는 금융 애플리케이션(앱) '토스'에선 938만원 상당 부정 결제가 발생했다. 지난달 카카오페이에서도 소액이지만 부정 결제 사건이 있었다. 이미 도용된 개인정보를 이용한 결제라는 게 업체들 주장이지만 그만큼 보안이 중요해졌다는 의미이기도 하다.
오픈뱅킹으로 한 개 앱에서 모든 금융 거래가 가능해지면서 금융 사고가 생기면 피해도 더욱 커질 수밖에 없다. 보안 인프라가 부족한 핀테크 업체들에도 은행 금융결제망이 개방되면서 보안 사고 가능성이 더욱 커졌다.
금융위도 서둘러 보안 규제를 담은 전자금융거래법 개정안을 마련하고 있다. 금융사 자본금 규모 등에 따라 보안 예산과 인력 등을 차별 적용하는 방안이 유력하다. 예를 들어 자본금이 일정액 이상이면 보안 예산과 인력을 그만큼 많이 두도록 하는 방식이다. 금융사와 전자금융업자에 금융위가 '조치명령권'을 내리는 내용도 개정안에 들어간다. 사이버 공격이나 정보 유출 등 금융 사고가 생겼을 때 신속하게 대응하기 위해서다.
[이새하 기자][ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]