[보안뉴스 김경애] 올해 초 발생한 카드사 사태 이후로 금융권 보안 강화 움직임이 본격화되고 있다. 외부 보안전문가를 영입하거나 시스템 구축, 조직개편 등 정보보호 강화를 위한 움직임이 분주하다. 이러한 가운데 금융권의 IT 리스크 거버넌스에 대한 관심이 높아지고 있다. 이에 본지는 한국은행이 주최한 ‘2014 금융IT 컨퍼런스-금융권의 IT리스크 거버넌스 전략’을 통해 제시된 금융권의 정보호호 강화방안을 짚어보고자 한다.

◆ 6가지 IT 리스크 대책을 세워라

우선 한국 CIO포럼 이강태 회장은 금융권 IT리스크 거버넌스 전략으로 △IT 운영 리스크 대책 △IT 직원 고령화 리스크 대책 △정보유출 리스크 대책 △아웃소싱 리스크 대책 △IT운영예산 감소 리스크 대책 △컴플아이언스 강화 리스크 대책 등 6가지를 제시했다.

이 가운데 IT 운영 리스크 대책과 관련해서는 금융에서 IT의 중요성이 커질수록 회복력에 대한 요구도 커진다며, 지속적인 분석과 치밀한 계획, 철저한 교육훈련이 뒷받침되어야만 안정적인 IT 운영이 가능하다고 강조했다.

이와 관련 이 회장은 “IT 스킬이 있어야 미래가 보장된다”며 “디렉토리 별로 자료관리를 철저히 해서 정보가 어디에 위치하고 있는지 파악하고 있어야 한다. 자료 생성, 유통, 파기 등의 프로세스를 관리하고 꾸준히 트레이닝해야 한다”고 강조했다.

IT 직원 고령화 리스크 대책에 있어 이 회장은 퇴직 후 계약직이라도 일할 수 있는 근무환경이 뒷받침돼야 자기개발 등을 유도할 수 있다고 제시했다.

정보유출 리스크 대책의 경우 정보보호는 공격에 대한 방어적 개념으로 모든 영역에서 대책을 수립해야 하고, 아웃소싱 리스크 대책은 효과성을 극대화하기 위해 거버넌스와 SLA를 철저히 구축해야 한다고 설명했다.

이외에도 이 회장은 IT 리스크는 여러 형태로 나타나기 때문에 IT 운영, 고령화, 정보유출, 아웃소싱, IT 예산, 규제준수 등을 시급성과 난이도 등으로 분류해 우선순위대로 대책을 실행하는 것이 중요하다고 강조했다. 또한 그는 “잠재적 IT 리스크를 도출해 경감대책을 수립·집행 하는데 있어 무엇보다 사람이 중요하다”며 “IT 임직원의 인사, 경력, 비전 관리가 필요하다”고 덧붙였다.

◆ 사람과 문화 중심으로 종합적인 재편작업 필요

이어 연세대학교 김범수 교수는 금융권의 IT거버넌스 전략으로 이전과 최근의 변화 추이 등을 바탕으로 종합적인 재편작업이 이뤄져야 한다고 강조했다.

김 교수는 “이전에 비해 보안인력의 중요성이 높아지고 관심이 높아진 반면, 위험관리를 할 수 있는 환경이나 능력, 예산 등의 측면에서는 개선된 부분이 별로 없다”며 “정보보호 전문가 역할이 과거에 비해 확대되고 있다. 기존에는 프라이버시 위협, 해킹, 전통적 보안이슈에 대한 책임과 역할이 주가 됐다면, 최근에는 금융권의 신뢰도 향상과 고객이 편리하고 안전하게 서비스를 이용할 수 있도록 해결책을 제시하는 등 고객관리 분야로 영역이 넓어지고 있다”고 설명했다.

또한 과거에는 법제도에 따라 물리적·기술적·관리적 조치를 취하며, 외부 침입에 대한 방어가 강조된 반면, 최근에는 비즈니스 전략에 따른 위험관리로 아웃소싱이나 내부직원 등 사람관리의 중요성이 더욱 대두되고 있다는 것.

따라서 금융기관에서는 정보보호가 위험관리에 있어 매우 중요한 영역이기 때문에 보안이 비용이 아닌 투자라는 인식으로 개선돼야 한다는 게 김 교수의 설명이다. 특히 중장기적으로 기업의 신뢰도를 높일 수 있는 투자로 판단하고, 지원하는 게 매우 중요하다는 것이다.  

두 번째로는 기술적인 측면에 너무 치중되는 것보단 개인정보보호 이슈, 프라이버시 관심 등 소비자의 요구와 변화 추세를 반영해야 한다고 강조했다.  

세 번째로는 정보보호 전문가를 지원할 수 있어야 한다. 이는 양질의 인력이 제대로 일할 수 있도록 정보보호 거버넌스, 지속적인 정보보호 교육, 정보보호 전문인력 양성, 정보보호관련 법규 준수, 사고 대응 등의 지원을 통해 시너지 효과가 날 수 있도록 해야 한다는 의미다. 이로써 사람과 문화 중심, 지식과 경영 등에 초점을 맞춘 종합적인 개편작업이 이뤄져야 한다는 게 김 교수의 설명이다.

◆ 비용절감 위한 IT 아웃소싱, ‘천만의 말씀’

하나은행의 유시완 CIO는 금융권의 IT리스크 거버넌스 전략으로 아웃소싱 리스크에 대해 중점적으로 설명했다. 이는 전문기술 활용, 서비스 효과 상승, 조직의 유연성 등을 갖추고, 신기술 발전속도에 발맞추기 위해 대부분의 기업들이 아웃소싱을 활용하고 있기 때문이다.

그러나 아웃소싱은 보안 리스크가 크기 때문에 경영환경, 조직의 전략적 방향, 현안 해결 측면에서 아웃소싱보다는 내부직원을 활용하는 게 더 유리하다는 것. 게다가 금융기관의 보안 리스크를 살펴보면 내부직원(협력업체 포함)에 의한 유출이 가장 많기 때문에 주의해야 한다는 게 유 CIO의 주장이다.

특히 대다수의 기업이 비용절감 측면에서 아웃소싱을 도입하고 있는데 실질적으로 비용효과는 별로 없다고 강조하며, 유 CIO는 “내부에서 축적한 노하우가 제대로 전달되지 않을 뿐더러 인력 구조의 어려움, IT 역량의 전문성 결여, 퀄리티 문제 발생, 디테일한 적용 미흡 등 관리 및 운영이 어렵기 때문”이라고 그 이유를 밝혔다.

따라서 기업은 내부적으로 비즈니스와 관련된 기여도에 따라 핵심영역을 도출하고, 포지션을 다르게 해야 한다는 게 유 CIO의 설명이다. 이를테면 나이키의 경우, 핵심역량을 광고마케팅 업무에 맞추고 있어 운동상품은 아웃소싱하고, 마케팅은 인소싱하고 있다는 얘기다.

특히 디지털 사회로 변화되면서 IT 역할이 중요해졌기 때문에 이러한 점을 고려해 핵심영역과 IT 부분을 제외한 업무를 분류해 어떤 분야를 아웃소싱할지 분야별로 선정해야 한다는 것이다.  

아웃소싱 업체를 선정할 경우 계약조건을 세밀히 정해 사용자 요구를 반영하며, 시장을 리딩할 수 있는 능력을 보유한 업체를 우선순위로 하되, 비용절감을 위한 아웃소싱은 역효과가 발생할 수 있기 때문에 신중히 판단해야 한다고 유 CIO는 강조했다.

또한, 씨에이에스 전영하 대표가 공개표준 활용전략 중심으로 IT리스크 거버넌스를 위한 공감 ISACA지식(COBIT5 for Risk 등) 활용, 금융부문 IT리스크 거버넌스 전략 등에 대해 설명했다. 이어 한국은행 전산정보국 성상경 부국장이 △IT 리스크의 원천별 분류 △IT리스크 원천별 발생 원인 △최근의 IT 리스크 주 발생원인 △IT 리스크 거버넌스 관리체계 고도화를 위한 주요 과제 등에 대해 중점적으로 설명했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>