| 금융권, 보안체계 여전히 부실 | 2006.09.12 | ||
보안사고 발생시, 부서간 업무협조 삐걱
<금융권, IT부서와 전체 보안업무 총괄할 보안전담팀 구성이 지지부진하다는 지적이 나오고 있다.> ⓒ보안뉴스/ 사진 장성협 기자 금융보안연구원의 주요 업무는 금융 IT 및 정보보호에 관한 정책 연구개발, 금융기관용 정보보호제품 적합성 테스트, 해킹ㆍ피싱 등 전자적 침해에 대한 대응, OTP 통합인증센터 운영 등 금융 IT 보안 분야에만 업무가 집중되고 있는 상황이다. 금융권, 보안총괄부서 부재...문제 금융권 보안체계에 있어 가장 큰 문제는 바로 금융보안업무를 총괄할만한 전담부서가 없다는 점. 현재 국내 대다수 은행은 예비군훈련 및 비상계획업무를 비롯해 일부 물리적ㆍ관리적 보안업무를 안전관리실에서 수행하고 있고, IT 보안업무의 경우 IT 관련 부서에서 담당하고 있는 상황이다. 다시 말해 국내 다수 은행은 기업보안 업무만을 전적으로 맡아 수행하는 부서가 없을 뿐더러 그토록 중요시하는 IT 보안업무마저 전담부서 없이 IT 관련 부서에서 함께 수행하는 경우가 대부분이라는 얘기다. 특히, 안전관리실의 경우 인력경비 및 기계경비 시스템 운용 등 물리적 보안업무에 치중한 나머지 세부적인 보안정책 수립과 직원들의 보안교육 및 감사, 보안사고 발생시 조사업무 등의 관리적 보안업무는 물론, IT 보안 담당부서와의 업무협력 등 전체적으로 보안업무를 조율하고 지휘하는 역할을 하지 못하고 있다는 지적이다. 이와 관련 인터뷰를 요청했던 한 시중은행 안전관리실 관계자는 본점과 영업점의 물리적 보안 시스템 구축이 모두 완료됐다는 말만 되풀이할 뿐 이 외에 여러 가지 관리적 보안활동에 대한 질문에는 제대로 된 답변을 내놓지 못했다.
또 다른 은행의 안전관리실 관계자 역시 보안정책 및 보안사고 수습 등 일부 보안업무와 관련해서는 “IT 관련부서에 물어보라”며, 보안업무와 관련해 IT 부서와의 정보공유 및 협력관계가 전혀 이루어지지 않고 있는 모습을 보이기도 했다. 금융보안사고가 발생할 경우 안전관리실과 IT 관련부서가 협조할 사안이 대부분임에도 불구하고, 양 부서간 커뮤니케이션이 원활하지 못하다는 사실은 국내 시중은행에 있어 보안체계의 허점을 여실히 대변해주고 있다. 선두은행 중심으로 보안체계 강화중 그러나 국민은행과 신한은행 등 선두은행을 중심으로 아직까지 미흡하지만 보안체계 강화를 위해 발빠른 움직임을 보이고 있고, 한미은행을 인수한 한국씨티은행 등 외국계 은행의 경우는 보다 선진화된 보안체계의 모습을 보여주고 있다. 조흥은행과의 합병이 완료된 신한은행의 경우 앞서 소개한 금융권의 보안업무 범위에서 크게 벗어나진 못했지만, 여타 은행보다는 한결 발전된 모습을 보여주고 있다. IT 보안만을 담당하는 별도의 IT 보안부서가 조직돼 있었고, 안전관리실의 경우 통합에 따른 출입관리 강화조치 등의 물리적 보안업무와 함께 영업점에 대한 보안감사주기를 3년에서 1년으로 단축하는 등 관리적 보안활동을 보다 활발히 펼치고 있는 것으로 나타났다. 이와 관련 안전관리실의 정상문 차장은 “신한은행과 조흥은행의 통합작업으로 보안업무가 크게 늘어났다”며, “이를 기점으로 통합은행의 보안체계를 한층 강화하기 위해 본점 로비에 시큐리티 게이트를 설치하고, 각 부서별ㆍ직원별로 출입등급 권한을 지정하는 BMS 시스템을 도입하는 등 출입통제 시스템 구축을 대폭 확대함은 물론 직원들에 대한 보안교육 및 감사주기를 단축했으며, IT 보안부서와의 협력을 강화하고 있다”고 말했다.
외환은행을 인수한 국민은행 역시 인수과정에서 발생할 수 있는 정보유출에 대비해 보안수준을 한층 향상시킨 상태로, 시큐리티 게이트 설치를 통해 외부인 통제를 강화하고, 통신보안 시스템 도입 등으로 내부자 보안에도 각별한 주의를 기울이고 있다는 게 국민은행 측의 설명이다. 국민은행 안전관리부의 박찬용 팀장은 “본점은 영업전략 등의 내부정보, 그리고 영업점의 경우 고객정보 유출을 차단하는 것이 우리 부서의 가장 큰 존재이유”라고 밝히며, “이를 위해 직원들의 보안교육과 영업점의 보안감사업무에도 만전을 기하고 있다”고 말했다. 이와 함께 그는 “IT 보안부서는 별도로 존재하지만, 보안관련 업무는 안전관리부에서 총괄하고 있다”는 말도 덧붙였다. 외국계 은행, 보안체계 수준급 그러나 금융권 보안체계와 관련해서는 한국씨티은행, SC제일은행 등 외국계 은행을 주목할 필요가 있다. 일례로 한미은행을 인수한 미국계 은행인 한국씨티은행의 경우 CSIS (Citygroup Security Investigative Services)팀이라는 보안전담부서를 운용 중인 것으로 알려졌다. 외국계 은행의 경우 은행에서 가장 빈번하게 발생하는 도난사고나 고객정보유출 방지업무는 기본이고, 보안사고 발생시 사후조사나 이에 따른 보안규정 및 기준을 새롭게 마련하는 일도 담당하는 등 보안업무범위가 매우 광범위하다. 이와 관련 모 외국계 은행 보안책임자는 “우리 부서의 경우 경비인력 및 보안 시스템 운용, 보안교육, 보안정책 수립은 물론 각 영업점의 보안 및 안전기준을 수립하는 일까지 모두 수행하고 있다”고 말했다. 또한 그는 “이러한 세부적인 보안기준은 모두 본사의 글로벌 스탠더드를 따르고 있다”고 말했다. 이러한 외국계 은행 사례를 보더라도 금융권 보안체계 강화를 위한 첫 번째 과제는 바로 물리적ㆍ기술적ㆍ관리적 보안 등 금융권의 모든 보안업무를 효과적으로 통제ㆍ조율할 수 있는 보안총괄부서와 이러한 보안총괄부서를 원만하게 이끌어갈 수 있는 임원급의 보안책임자가 필요하다는 것.
더욱이 전자금융거래에 의한 보안사고가 빈번한 요즘에는 물리적·관리적 보안 분야는 물론 IT 보안에도 일정 수준의 식견을 갖춘 인물이 금융권의 보안조직을 이끌어가야 한다는 게 보안전문가들의 공통된 견해다. 이와 관련 한 보안전문가는 “금융권의 보안부서는 확고한 정책과 방향을 갖고, 다른 부서를 컨트롤 할 수 있어야 한다”며, “설사 물리적ㆍ관리적 보안업무를 담당하는 안전관리실과 IT 보안팀을 별도로 두더라도 사고발생시 양 부서를 하나로 묶고, 서로 원활한 커뮤니케이션이 가능토록 하는 게 금융권 보안책임자의 가장 중요한 역할”이라고 강조했다. 보안 전문가들은 “국내 금융권의 보안수준 역시 서서히 높아지고 있다. 그러나 이것이 IT 부문에만 한정돼서는 안된다. 보안조직의 업무범위와 책임소재가 명확해 짐으로써 보안조직이 제자리를 찾고, 보안책임자의 전문성이 향상되는 게 우선이다. 이것이 바로 고객들이 가장 신뢰해야 할 금융권이 우선적으로 풀어야할 숙제”라고 강조했다. [권준 기자(boan@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|||
 |
