[단독]금감원 보안인력 3년째 '10명' 동결 … 해킹 속출에도 금융안보 역주행

국내 금융권에서 연이어 해킹·정보유출 사고가 터지고 있지만, 감독기관인 금융감독원의 정보보안 전담 인력은 3년째 10명에 머물러 있는 것으로 확인됐다. 예산은 매년 큰 폭으로 늘고 있으나 인력 확충이 뒷받침되지 않아 감독 역량이 구조적으로 뒷걸음질하고 있다는 지적이 나온다.

4일 금감원에 따르면 정보보안 인력은 2021년·2022년 8명에서 2023년 10명으로 소폭 늘어난 후 올해까지 동일 규모가 유지되고 있다. 반면 같은 기간 정보보안 예산은 15억원(2021년)→30억원(2022년)→34억원(2023년)→52억원(2024년)→66억원(2025년) 등으로 4년 새 4배 이상 증가했다. 

최근 금융권 보안사고는 흐름이 더 심각해지고 있다. 롯데카드 고객 결제정보 대규모 유출, 한 시중은행 모바일뱅킹 계정 탈취 사건, 카드사 계정도용(크리덴셜 스터핑) 공격 증가 등이 연달아 발생했다. 여기에 가상자산 거래소 DDOS 공격, SK텔레콤·KT 해킹 사건, 금융사 전산장애가 반복되며 금융 인프라 전반이 사이버 공격에 노출됐다. 

금융권 보안 대응 체계는 금융위원회(정책) → 금감원(감독·규제) → 금융보안원(기술 방어)로 이어진다. 금융보안원이 기술 대응을 지원한다 해도 금감원은 금융사 보안 실태 평가·제재·내부 보안감사를 수행해야 한다. 업권의 보안규제 실효성을 좌우하는 핵심 역할이다.

하지만 금감원의 전체 임직원 2000명 가운데, 정보보안 전문인력은 10명이라는 단일팀에 불과하다. 현 인력으로는 모바일뱅킹, 금융클라우드, 오픈뱅킹, 가상자산까지 확대된 규제 영역을 감당하기에 턱없이 부족하다는 지적이다. 사고 후 점검·징계에 머물고 있어 예방형 감독 기능은 사실상 실종됐다는 평가다.

금융권 관계자는 "사고 조사 한 건만 터져도 전원이 투입되는 수준"이라며 "감독기관이 실무기관(FSI)에만 의존하는 구조가 고착화됐다"고 꼬집었다.

글로벌 금융당국과 비교해도 격차는 두드러진다. 미국 금융 규제기관인 OCC(통화감독청) 연차보고서에 따르면 정보보안 담당 인력이 40명 이상에 달하며, 미국 예금보험공사(FDIC)도 최소 57명의 정보보안 전담조직을 운영하고 있는 것으로 전해진다. 유럽감독기구(ESMA)도 전체 인력 중 10%가 넘는 30명 가량의 직원이 정보보안을 담당하고 있고, 영국 금융감독청(FCA)은 내부에 별도의 사이버 사건 대응 전담팀을 두고 있는 것으로 알려졌다.

국내 금융권의 IT 외주 비중이 글로벌 대비 높은데도 관리·감독 인원이 턱없이 부족하다는 지적이 나오는 대목이다. 금감원 내부에서도 보안조직 확대 요구가 지속되고 있지만, 금융당국 조직개편 방향 및 예산 통제 문제와 맞물리며 인사 확대가 지연되는 분위기다. 감독책임은 커지는데 인력은 정체된 '불균형 구조'가 고착화되고 있다는 비판이 커진다.

예산 비대화가 오히려 구조적 혼선을 불러온다는 지적도 나온다. 금융위 산하 금감원과 보안 실무기관인 금융보안원 사이 책임 의무가 모호해지면서 금감원이 '지도만 하고 실무는 FSI가 한다'는 문화가 굳어지고 있다는 것. 사고가 나면 금감원은 제재만 담당하고 예방·차단은 금융사와 FSI가 책임지는 기형 구조라는 것.

전문가들은 현재 금감원의 인력 수준으로는 핀테크, 가상자산, 오픈뱅킹 확산에 따른 복합 위협에 대응하기 어렵다고 경고한다. 금감원 보안조직을 최소 20명 이상의 규모 전문조직으로 확대하고, 사고 대응 중심에서 리스크 사전 차단 중심으로 패러다임을 전환해야 한다고 목소리를 높인다.

보안 컨설팅 업계의 한 전문가는 "보안이 정책 옵션이 아니라 기본 인프라라는 인식이 필요하다"며 "침해사고 분석부터 위협 탐지까지 능동적 조직으로 개편해야 한다"고 말했다.