정보 유출 본질은 위험 관리 부재

오정근
한국경제연 초빙연구위원
아시아금융학회장

1억400만 건이라는 사상 최악의 카드 가입자 개인정보 유출 대란으로 온 나라가 패닉에 빠졌다. 정부는 연일 피해 예방과 재발 방지대책을 내놓고 있다. 개인정보 보호 강화와 정보 유출 금융사에 대한 처벌 강화가 주요 내용이다. 금융은 대통령이 신년사에서 중점 서비스산업 중 하나로 강조했듯이 앞으로 한국 경제가 먹고살아가야 할 중요한 지식기반 서비스산업이자 정보산업이다. 그런 만큼 신뢰가 생명이다. 신뢰가 떨어지면 육성은커녕 존립 자체가 흔들리게 된다. 작은 나라이면서 세계적 금융회사들을 가지고 있는 스위스가 개인정보 보호를 금과옥조로 여기고 있는 것도 바로 이 때문이다. 이제라도 개인정보 보호가 추락한 한국 금융의 신뢰 회복에 중요하다는 것을 깨달은 점은 다행이지만 금융 신뢰 회복과 유사사태 재발 방지대책은 여전히 미흡해 보인다.

　사태의 본질을 정확하게 진단하고 올바른 대책을 수립하는 일이 중요하다. 이번 사태의 본질은 리스크 관리 시스템이 총체적으로 작동되지 않은 데 있다. 금융이란 본질적으로 정보산업이므로 리스크 관리가 핵심이다. 한국은 1997년 금융위기를 겪으면서 리스크 관리의 중요성을 깨닫고 최고리스크관리책임자(CRO) 자리를 만들고 리스크관리위원회를 두는 등 제도를 강화해 왔다. 그러나 저축은행 사태와 동양증권 사태, 최근 연이어 일어난 개인정보 유출사건은 한국 금융에서 리스크 관리 시스템이 작동되지 않고 있음을 보여 주고 있다.

　금융 리스크에는 신용 리스크나 시장 리스크만 있는 게 아니다. 이번 경우처럼 전산 시스템이나 보안 시스템의 운영 오류에서 발생하는 운영 리스크도 중요하다. 리스크 관리는 일선 업무라인과 별도의 라인에서 이중 삼중 체크하는 데서 출발한다. 내부와 외부 직원을 떠나 누구나 중요 정보에 접근할 때는 일선 계장·과장 등 업무라인의 결재를 받은 다음 리스크 관리 계장·과장 등이 확인한 뒤 업무 라인의 출입 확인, 출입대장 기록, 상급 책임자 재확인 등 이중 삼중의 체크를 했다면 이처럼 허술하게 USB에 개인정보를 담아 외부로 유출시킬 수 없었을 것이다.

　그런데 경비 절감과 전문인력 미비 등을 이유로 이 같은 리스크 관리 라인을 두지 않고 업무 라인에서 리스크 관리도 같이 처리하는 경우가 비일비재하다. 더구나 ‘서로 아는 사이에’ ‘이 정도는’ 하는 해이한 보안의식도 만연해 있다.

　리스크 관리는 최고경영자(CEO)의 의지가 중요하다. CEO까지 견제할 수 있는 독립적인 리스크 관리 라인을 도입하고 전문 인력을 중용해야 리스크 관리는 강화된다. 불행하게도 한국에서는 금융에서 잔뼈가 굵은 전문가 CEO보다는 낙하산 인사들이 많다. 리스크 관리의 중요성을 뼛속 깊이 알 리 없다. 전산이나 보안 업무는 현장직원들이나 하는 하급 업무로 여기고, 명목상 있는 리스크 관리 라인 상급자 자리도 비전문가들이 차지하고 있는 경우가 허다하다. 이런 시스템이 근본적으로 바뀌지 않는 한 리스크 관리는 요원하다.

오정근 한국경제연 초빙연구위원
아시아금융학회장