|
금융권이 크고 작은 고객정보 유출사고로 몸살을 앓고 있다. 특히 고객정보 유출사고가 발생한 금융회사의 경우 수습과 대책 마련에 전력투구해야 하는 만큼 새로운 경영 전략을 수립해 급변하는 정보기술(IT) 환경 변화에 대응하기가 여의치 않은 상황이다.
그러나 사고의 가능성은 잠재돼 있어 언젠가는 이번 카드 3사와 같은 주인공이 누구나 될 수 있다. 얼마 전까지만 해도 금융보안이라고 하면 단지 소수의 보안인력만 수행하는 업무로 조직 내에서도 별로 대수로이 생각하지 않은 것이 사실이다. 하지만 바로 지금은 보안이 기업의 비즈니스 연속성을 위협하는 가장 중요한 리스크로 자리 잡아가고 있다.
그렇다면 도대체 어디서부터 무엇을 시작해야 하는 것일까. 수많은 정책 대안이 발표되고 다양한 의견들이 홍수처럼 쏟아져 나오고 있지만 지금은 금융회사 스스로 중심을 잡고 과거의 잘못된 관행은 과감히 뜯어고쳐 나가야 한다. 그리고 중장기적인 관점에서 금융보안의 새로운 전략을 수립하고 이에 따라 단계적으로 철저히 준비를 해나가는 것이 필요하다.
금융회사에서 보안사고가 발생하면 대부분은 보안업무를 책임지고 있는 정보보호최고책임자(CISO)를 지목할 것이다. 그러나 각종 보안사고를 살펴보면 CISO만으로 전사적인 보안 활동을 수행하는 것이 얼마나 어려운 일인지 알 수 있다. 이에 따라 많은 보안 전문가들이 CISO가 독립적으로 업무를 수행할 수 있도록 CISO 역할 및 위상 강화에 목소리를 높여 왔다. 금융당국도 전자금융거래법 개정을 통해 일정 규모 이상의 금융회사에 대해 CISO의 임원 지정을 의무화했고 최근 CIO와 겸직 금지 등을 골자로 하는 전자금융거래법 개정을 추진 중에 있다. 그러나 이것만으로 충분하지 않다. 앞서 언급했듯이 무엇보다도 가장 중요한 것은 시행착오로 겪었던 실패의 경험을 교훈 삼아 금융회사 경영진의 근본적인 인식 변화와 강력한 실행력이 뒷받침돼야 한다.
이러한 측면에서 금융회사를 둘러싼 다양한 이해관계자의 요구를 충족시킬 수 있는 보안 거버넌스(security governance)는 금융회사가 선택할 수 있는 금융보안의 새로운 전략으로써 가치를 지닌다. 보안 거버넌스는 일반적으로 개인정보·금융정보 등 중요 정보에 대한 기밀성·무결성·연속성을 보장하기 위한 이사회와 최고경영진의 책임으로 정의된다.
다르게 말하면 보안에 대한 역할과 책임이 더 이상 보안부서 또는 CISO만이 아닌 이사회, CISO이외 임원, 운영위원회, 준법감시부서, 감사부서 등으로 분산된다는 것을 의미한다. 이를 바탕으로 금융보안은 비즈니스 목표를 지원하기 위해 사업전략과 연계돼야 하며 보안 활동에 대한 모니터링 및 효과성을 측정해야 한다.
이러한 역할과 책임에 따라 보안 활동이 선순환적으로 지속되게 되면 보안 거버넌스가 자연스럽게 조직 내 시스템으로 정착되면서 금융회사 책임의 자율 규제가 안착하게 될 것이다.
제대로 구축된 보안 거버넌스를 통해 경영진이 얻을 수 있는 효과는 보안사고 발생시 최종 의사결정권자인 경영진 차원에서 신속한 대처와 의사결정이 가능하다는 것이다. 또 비즈니스 연속성에 대한 예측 가능성을 높임으로써 불확실성을 감소시키고 보안 법규 준수에 대한 확신을 가질 수 있다.
이러한 보안 거버넌스가 금융권 전반에 확산될 경우 우리는 보다 큰 변화를 맞이하게 될 수 있다. 지금과 같은 금융당국 중심의 규제 방식에서 벗어나 금융회사의 자율 규제로 변화하는 진정한 금융보안 패러다임 변화 말이다. 그러한 변화의 키는 결국 금융회사의 경영진에게 주어져 있고 보안의 중요성을 얼마나 빨리 인식하느냐에 달려 있다고 해도 과언이 아니다.
