2013년 12월 서울 여의도 금융가는 실적부진, 구조조정, 매각설 등으로 어둠의 긴 터널을 지나고 있다. 경영이 어려움을 겪지만 금융회사에 대한 법적 보안 요구는 늘어나고 있다. 지난 3월 일부 방송사와 은행권을 대상으로 발생한 초유의 해킹사고로 실태 점검과 대책 마련에 나서는 등 다사다난했다.
정부도 해킹 등 전자적 침해로부터 전산시스템을 보호하기 위해 금융전산 보안 강화 종합대책을 발표하는 등 분주하게 움직였다. 최근에는 금융위원회에서 전자금융감독규정 개정안을 의결, 지난 3일부터 시행에 들어갔다.
새 규정은 정보보호최고책임자(CISO)를 지정하는 금융회사 기준을 총자산 2조원 이상, 상시종업원 수 300명으로 명시하는 내용을 담고 있다. 정보보호 교육도 임원급 연 3시간, 직원 6시간, 정보보호 담당 직원 12시간 이상을 의무화했다. 정보보호 취약점 분석과 평가도 연 1회 실시하도록 했다. 침해사고대응기관으로 코스콤과 금융결제원을 지정, 침해사고 확산방지 필요조치 등을 수행하도록 했고 금융전산망 분리와 공인인증 절차 추가 등도 의무화했다. 이에 따라 불황을 타개해야 할 증권가는 경영 효율화와 강화된 정보보호 요건을 모두 충족해야 하는 어려운 상황에 놓였다. 두 마리 토끼를 잡아야 하는 것이다. 이 시점에 `정보보호 거버넌스(Governance)`로 거시적인 관점에서 당면한 문제를 해결할 것을 제안한다.
`거버넌스`는 사전적 의미로 `통치, 관리 방식`을 뜻하며 `국가, 조직활동에 영향력을 미치는 행위, 프로세스 또는 힘`을 의미한다. 정보보호 거버넌스는 경영자가 큰 그림을 그려 정해진 정보보호 전략에 따라 체계를 마련하고 적절한 기술과 인력을 유지하는 것이 기본 취지다. 보안 중복투자를 피하고 효율적 인력과 프로세스를 운영하도록 함에 따라 경영효율화와 정보보호라는 두 마리 토끼를 잡을 수 있다. 정보보호 거버넌스로 어두운 밤 터널을 지나고 있는 증권업계가 새벽으로 나갈 수 있을 것이다.
이주호 코스콤 정보보호센터부 차장
