금융IT 보안 컴플라이언스 어떻게 해야할까?

최근 금융권 보안 사고가 잦아지면서 관련 규제준수(컴플라이언스)에 대한 요구가 높아지고 있다. 그러나 금융회사들이 운영할 수 있는 인력과 예산이 한정돼 있어 곤혹스러운 상황이다.

8일 관련업계에 따르면, 금융권에서 보안 사고가 발생했을 때 기업들이 관련 법규를 준수하지 못하게 되면 경제적 손실은 물론 신뢰도나 인지도 하락, 비즈니스 기회 상실 등과 같은 피해도 함께 입게 된다. 이 때문에 현실 여건을 고려한 효율적인 컴플라이언스 대책이 필요하다는 의견이 나오고 있다.

특히 금융권의 서비스는 고객의 돈과 직결돼 있어 더욱 예민하다. 컴플라이언스를 준수하면서도 서비스의 안정성과 연속성을 함께 유지해야 하기 때문에 금융사들에겐 더욱 어려운 숙제로 남아있다.

■‘정보보호 컴플라이언스’ 뭐길래?

정보보호 컴플라이언스는 기업 내 모든 임직원들이 보안관련 법률, 규정 등을 보다 철저히 준수하도록 통제·감독하는 것을 말한다. 이에 국내 금융사들은 은행법 보험업법 등의 각종 금융관련 법률을 통해 담당자 배치를 의무화하고 있다.

지난 4월 상법 개정을 통해 일정 규모 이상의 상장회사에도 준법 경영과 사회적 책임 강화를 위해 내년 4월 시행될 예정이다. 특히 금융사는 올해 6월에 발표된 ‘금융회사 IT보안강화 종합대책’에 따라 보안 사고에 대한 제제 수준이 대폭 강화될 예정이다.

최근 다국적 기업을 대상으로 한 컴플라이언스 활동으로 인한 직간접적인 비용을 조사한 결과, 컴플라이언스를 준수했을 때가 약 2.65배 효율적이라는 결과가 나왔다. 그런 만큼, 보안 컴플라이언스는 금융 서비스의 연속성 보장을 위해 반드시 갖춰야 할 필수사항으로 떠오르고 있다.

금융권이 준수해야 하는 관련 법률만 해도 엄청난 숫자다. 서로 다른 규제 기관마다 다양하게 존재해 법률마다 요구하는 사항도 서로 중복되거나 상충되는 경우가 많다.

또한 금융회사가 준수해야 하는 보안 관련 법률은 ▲전자금융거래법 ▲전자금융감독 규정 ▲신용정보보호법 ▲신용정보업감독규정 ▲정보통신망법 ▲개인정보보호법 ▲정보통신기반보호법 등 규제기관마다 다양하고 복잡하다.

금융권의 한 관계자는 “현실과 법규상 맞지 않는 부분이 맞아서 난감한 경우가 많다”면서 “효율적인 보안 컴플라이언스 관리 방안을 모색하고 국내외에서 실제 적용하고 있는 사례를 통한 실질적인 보완대책 마련이 필요하다”고 하소연했다.

■금융IT 보안 컴플라이언스 어떻게?

금융권에 보안 컴플라이언스를 적용할 때는 ▲회사규모 ▲서비스 종류 ▲실제 활용 가능성 등이 고려해야 한다. 전사적 차원에서 IT 거버넌스와의 연계도 필요하다. 보안 컴플라이언스는 영역 세분화를 통해 보안성을 높여나가는 것도 중요하다.

특히 국내서는 ‘내부통제’가 가장 중시된다. 내부통제를 통해 운영의 효과성이나 효율성을 높이는 것은 물론이고 재무보고 신뢰성 유지, 모든 활동에 대한 관련 법규나 내부 정책 및 절차 등을 준수할 수 있기 때문이다.

금융보안연구원 보고서에 따르면, 금융권 보안의 특수성도 존재한다. 모든 기업이 보안을 위해 필요한 조치지만 특히 금융권에서의 컴플라이언스 준수는 더욱 강조되는 부분이란 것이다.

이에 금융보안의 핵심영역으로 거버넌스, 정보보호, 개인정보보호 영역 등으로 구분해 컴플라이언스 준수에 대한 지속적 모니터링 및 측정이 필요하다고 강조한다.

금융권 보안 컴플라이언스 강화를 위해 ▲프로세스 지향 ▲통제 기반 ▲측정 중심과 같은 세 가지 요인도 충족돼야 한다. 아울러 정보보호관리체계의 국제 표준인 ISO 27001과 한국인터넷진흥원(KISA)의 정보보호관리체계(ISMS) 등을 운영하는 기업이나 보안 컨설팅 전문업체 전문가와의 협력을 통한 보안 체계 구축도 이뤄져야 한다.

그러나 금융권의 한 관계자는 컴플라이언스 수립 시 가장 중요한 것은 기업의 적극적이 노력과 성과에 대해 보여주는 것이라고 꼽았다. 그 만큼 금융권 내 보안이 고객에 대한 신뢰성을 좌우한다는 이야기다.