"금융보안, IT조직과 현업간 협업이 핵심"

[SNC2015]김홍선 스탠다드차타드 은행 부행장 기조연설

일반입력 :2014/11/27 12:33

손경호 기자

금융조직은 IT조직이 아니다. 비IT조직에 속하는 전통적인 금융조직과 IT조직 간 커뮤니케이션이 더 중요해지는 시점이 됐다.

이전 직장인 안랩을 포함해 18년 간 보안업계에 종사해 왔던 스탠다드차타드 은행 김홍선 부행장(CISO)은 보안을 포함한 IT조직과 금융조직 간 프로세스가 차이가 나더라는 경험담을 소개하며 이들 간 커뮤니케이션이 앞으로 더 중요해질 것이라고 강조했다.

27일 지디넷코리아가 잠실 롯데호텔에서 개최한 '시큐리티 넥스트 컨퍼런스(SNC) 2015'에서 기조연설을 맡은 김 부행장은 4개월 간 금융조직의 보안책임자로서 느꼈던 생각들을 공유했다.

김 부행장은 IT조직은 국내외를 포함해 여전히 일반 기업 입장에서는 비주류 조직에 속한다며 결국 금융업종에서 기존 조직이 가진 프로세스 안에 IT, 그중에서도 특히 보안이 스며 들어갈 수 있도록 해야 한다고 말했다.금융회사는 고객들의 자산을 직접 관리한다는 점에서 핵심적인 업무 중 하나가 리스크 관리다. 기존에는 이 부분에서 은행본점이나 지점 등에서 이뤄지는 거래에서 발생할 수 있는 여러 위험요소에 대응하는 것을 목표로 했다.

그러나 최근 수 년 간 인터넷뱅킹, 모바일뱅킹을 포함한 비대면 거래가 늘어나기 시작하면서 오프라인 거래 못지 않게 온라인 거래에 대한 대비책을 강구하는 것이 중요해졌다.

김 부행장에 따르면 IT조직에 속하는 보안회사의 경우 어떻게 위협을 막고 차단할 수 있는지, 어떤 위협이 발생할 수 있는지를 분석하고, 막을 수 있는 방법을 강구한다. 반면 금융조직은 정보보안 문제 역시 리스크(risk) 관리 관점에서 바라본다.

이를 두고 김 부행장은 금융회사에서는 발생할지도 모르는 보안위협이 실제로 사고를 초래할만한 리스크가 될 때는 문제이지만 만약 관리가 가능한 리스크라면 다른 방식을 통해 문제를 해결할 수 있다는 식으로 생각한다고 설명했다. 보안회사의 목표는 모든 위협에 대응하고 방어하기 위해 필요한 기술과 서비스를 제공하는 것이지만 금융회사를 포함한 일반 회사의 목표는 위협을 어떤 방식으로든 잘 관리해 피해를 최소화하고 수익을 높일 수 있게 하는 것이 중요하다는 것이다.

스탠다드차타드 은행 역시 오프라인 지점을 통한 거래는 10%에 남짓한 상황이다. 특히 인터넷뱅킹 보다 모바일뱅킹이 훨씬 많은 거래가 이뤄지고 있다. 이 과정에서 새롭게 수익을 내기 위해 지점수를 줄이고, 무인 거래가 가능한 셀프 키오스크나 태블릿PC와 LTE통신을 접목한 업무용 서비스도 개발되고 있다.

김 부행장에 따르면 보안은 결국 소프트웨어, 인터넷을 통해 발생하는 문제들이다. 금융회사들이 점점 온라인 기반 소프트웨어를 활용해 창구 업무를 수행하게 되는 만큼 보안성에 대한 수요는 더 늘어날 수밖에 없다.

관련기사

그는 금융 정보보안의 필수 요건으로 엔드포인트, 네크워크, 클라우드, 각종 거래로그(트랜젝션) 등에 대한 가시성을 확보하고, 위협을 정량적으로 계량화 해서 측정할 수 있어야 한다고 덧붙였다.

김 부행장은 끝으로 새로운 시장을 개척하기 위해 보안이 좋은 무기가 될 수 있도록 현업에서 IT/비IT조직들이 많은 커뮤니케이션을 할 수 있기를 바란다고 말했다.