롯데카드 해킹 등 반복되는 금융 보안 사고를 막기 위해 보안 투자를 확대해야 한다는 목소리가 커지고 있지만, 정작 현장에 반영되긴 현실적으로 어렵다는 지적이 나온다.
대규모 투자가 필요한데 임기가 짧은 금융사 최고경영자(CEO) 입장에서는 선뜻 나서기 쉽지 않다는 이유에서다.
지난 6일 서울 여의도 금융감독원에서 열린 '금융보안 패러다임 전환 간담회'에서는 회사 경영진의 성과보상체계(KPI)가 오히려 보안 투자를 제약할 수 있다는 의견이 나왔다.
이날 간담회에서는 반복되는 금융권 보안 사고를 막기 위해 보안 취약 금융회사를 별도로 선별해 집중 점검하고 감독 체계를 사후 제재 중심에서 사전 예방 중심으로 전환하는 방안 등이 논의됐다. ▷관련기사: 금감원, 금융 보안 '고위험사' 집중 점검(4월7일).
보안은 비용·평가는 실적…엇갈린 구조
문제는 경영진의 성과 평가 구조다.
대표이사의 KPI는 결국 이익 등 재무 성과를 중심으로 평가되는 경우가 많다. 반면 보안 투자는 당장 비용으로 반영되는 데다 사고 예방 성격이 강해 성과를 수치로 입증하기도 쉽지 않다. 투자 효과 역시 시간이 지나면서 나타나는 경우가 많아 임기 내 실적을 중시하는 경영진 입장에서는 투자 유인이 떨어질 수 있다는 지적이다.
또 대표이사의 임기가 통상 2~3년 수준인 점을 고려하면 보안 투자를 적극적으로 결정하기 쉽지 않은 구조라는 분석도 나온다. 투자 비용은 임기 중 반영되지만 성과는 이후에 나타날 가능성이 크기 때문이다.
이 때문에 이날 간담회에서도 보안 투자에 대한 회계·평가 체계를 보완해야 한다는 의견도 나왔다. 단순히 보안 투자를 비용으로 처리하기보다는 투자 성격을 반영하거나, 경영진 평가에서 별도의 긍정 요인으로 반영하는 방식 등이 거론됐다.
이러한 문제의식에 대해 이찬진 금감원장도 공감했다는 전언이다. 보안 강화가 단순한 규제 문제가 아니라 경영 인센티브 구조와도 맞물려 있다는 점을 고려해야 한다는 취지다.
'올해부터 도입' 신한 사례 거론도
이날 간담회 자리에서는 실제 보안 투자를 경영 평가 체계와 연계한 사례도 함께 언급된 것으로 전해졌다.
대표적인 사례가 신한금융그룹이다. 신한금융지주는 올해부터 그룹 CEO와 주요 계열사(은행·카드·증권·보험) CEO들의 평과 과제에 보안 인력 확충과 보안 관련 예산 투자 등을 반영했다.
일률적인 투자 확대보다는 회사별 상황에 맞는 보안 투자와 인력 확충을 유도하는 방향이다.
KB금융·우리금융·하나금융 등 다른 금융지주는 보안과 정보보호 관련 요소를 내부통제 등 경영관리 항목에 뭉뚱그려 임원 평가에 일정 부분 반영하고 있다.
금융권 관계자는 "은행 등 금융권은 KPI에 반영되기만 하면 이행 속도가 빠른 편"이라며 "충분히 검토할 수 있는 부분"이라고 말했다.
이어 "다만 KPI는 통상 전년도 말에 기준을 정하고 한 해 동안 검토를 거쳐 다음 해에 반영되는 구조"라며 "보안의 중요성이 높아지는 만큼 금융사들의 투자도 확대되는 흐름이라 실제로 관련 논의가 진행된다면 올해 검토 후 내년에 반영될 수는 있을 것"이라고 덧붙였다.
