지난해 10월 금융감독원이 ‘금융회사 IT부문 보호업무 모범규준’을 발표한 지 10개월여가 지났다. 이 모범규준에는 총 임직원수의 5% 이상을 IT인력으로, 정보기술부문 인력의 5% 이상을 정보보호인력으로, IT 예산의 7% 이상을 정보보호 예산으로 확보하도록 하는, 이른바 ‘5.5.7 규준’이 포함돼 있다.
최근 금감원이 금융회사 IT보안강화 종합대책의 이행상황에 대해 금융권을 대상으로 표본조사를 실시한 결과 IT보안 예산 부문에 있어서는 대부분의 금융회사가 권고 수준을 확보해 집행하고 있는 것으로 나타난 반면, 정보보호 인력 부문에서는 일부 금융회사가 권고수준에 미달한 것으로 파악됐다.
은행권 중에서는 현재 농협과 산업은행이 IT인력 및 보안인력 5% 기준을 달성한 상태이며 나머지 은행들은 올 연말까지 순차적으로 인력을 충원할 계획이다.
대형 금융사의 경우 분모가 되는 전체 임직원 수가 워낙 많아 채용 권고 기준인 5%를 맞추기가 상대적으로 어렵기 때문이라는 게 금감원 측 분석이다.
금융업계 관계자들은 “일괄적인 5% 기준은 문제가 있으며 기업 규모에 따라 상한선, 하한선을 두는 것이 효율적일 것”이라고 제안하는 한편 “모범규준을 만족시키기 위해 올 연말까지 추가 채용해야하는 상황이지만 인력을 구하기가 쉽지 않다”고 난색을 표하고 있다.
금융권은 그래도 사정이 나은 편에 속한다. 공공기관에서는 보안인력을 충원하기가 ‘하늘의 별 따기’이다. 어렵게 겨우 보안담당자를 뽑아놓으면 얼마 가지 않아 다른 회사로 이직하기 일쑤다. 워낙 찾는 곳이 많으니 연봉이 더 높은 곳을 찾아 떠나는 것이다.
민간 기업일 경우 연봉을 높일 수도 있겠지만, 임금 수준이 호봉에 따라 정해져있는 공공기관의 경우엔 그것도 어렵다. 결국 신입사원이 들고나기를 반복하는 동안 2~3명의 기존인원으로 보안업무를 소화해야만 하는 상황이다.
그동안 기피직종이었던 보안전문가는 이제 너도나도 모셔가려고 앞 다투는 귀한 몸이 됐다. 수요가 공급을 넘어서면 가격이 올라가는 시장 논리를 적용해 본다면, 보안 분야의 미래는 분명 밝다.
최근 송현 금감원 IT감독국장은 정보보호 종사자들의 사기진작을 위한 방안을 마련하겠다고 말한 바 있다, 보안 담당자에게 호의적인 세상이 조금씩 다가오고 있는 듯하다.
보안은 IT에게 있어 양날의 검과 같다. 보안 사고에 대한 부담과 스트레스가 있는 반면 보안으로 인해 IT의 영역이 넓어지고 전문성을 높일 수 있는 좋은 기회이기도 하다. 어느 편이 될지는 각자 역량에 달린 문제다.