김정덕 중앙대 교수, 전사적 보안활동 강조…금융정보보호 콘퍼런스

"급변하는 금융, 보안환경 변화에 적극적으로 대응하려면 전사 차원에서 사업과 연계된 보안체계를 구축하는 게 핵심입니다."

김정덕 중앙대 산업보안학과 교수는 지난 11일 온라인 금융정보보호 콘퍼런스에서 "진정한 의미의 금융 거버넌스는 전사 차원의 보안 활동"이라며 이 같이 강조했다.

그에 따르면 거버넌스는 '지시'와 '통제' 관련 전활동을 뜻한다. 지시는 명령뿐 아니라 전략·방향 제시 등을, 통제는 목표 달성을 위해 모니터링 분석·교정하는 행위를 통틀어 의미한다.

최근 신종 코로나바이러스 감염증(코로나19) 등 요인으로 디지털 금융 전환이 가속화되고 있는 상황에서 보안 리스크 또한 커지고 있다. 이렇듯 불확실성이 커지고 있는 가운데 금융보안을 재편해야 할 필요성을 강조한 것이다.

김 교수는 "보안을 더이상 IT·기술적 이슈로만 볼 게 아니라 비즈니스 관점에서 봐야한다"며 "최고경영자(CEO), 최고재무책임자(CFO), 최고위기관리자(CRO) 등 C레벨 급 임원을 중심으로 한 전사적 대응이 필요하다"고 강조했다.

특히 정보보호 중요성이 높아지면서 C레벨의 역할·책임을 명확히 확립해야 한다는 점도 강조 했다.

그는 "보안 업무를 수행함에 있어서 수행 책임자(Responsible), 최종 책임자(Accountable), 협조 대상(Consulted), 보고 대상(Informed) 등을 나타내는 RACI 차트를 활용하는 것도 한 가지 방법"이라고 말했다.

이를 통해 구성원 간 유기적 협력체계를 구축하고 효율적인 업무를 수행할 수 있다는 얘기다.

아울러 금융사 보안 조직이 다시 힘있는 조직으로 편제돼야 한다는 점도 강조했다.

그는 "CEO, 경영지원 부서 아래에 소속돼야 보안 부서에 힘이 실릴 수 있다"며 "개선돼야 할 필요가 있다"고 했다.

IT조직 산하에 보안 조직이 있는 경우 CEO 보고 시 정보보호 이슈 중 일부 누락, IT 운영 업무에 대한 점검·감사 제한, 발생한 문제 축소·은폐, IT업무에 밀려 정보보호 업무 활동 제한, 관리·물리적 대책 수립 제한 등 한계가 있다는 이유에서다.

김 교수는 "보안 활동이 비즈니스에 어떤 영향을 미칠지 파악하는 등 관점을 가져야 한다"며 "금융, 보안환경 변화를 지속 모니터링하는 등 지표 기반의 상시 모니터링 체계를 만들 필요도 있다"고 덧붙였다.

출처 : "보안은 IT문제 아닌 비즈니스 문제" (inews24.com)