금융정보보호, 경영진 관심 높아졌다

금융보안연구원 교육홍보팀 김혜리 연구원

전산시스템 운용 및 관리도 결국은 사람이 하는 일

정보보호 교육은 전 임직원의 자발적인 참여가 관건

월말이면 각종 공과금 납부 등의 은행 업무를 처리하기 위해 한 시간 이상 기다려야 했던 경험은 이제 추억이 되었다. 인터넷이나 스마트폰 등을 이용한 전자금융거래의 보편화는 시·공간의 제약을 없애주었으며, 창구 거래 시 부과되는 수수료 면제 등의 비용절감 혜택도 누릴 수 있게 해주었다. 하지만 전자금융은 많은 이점과 함께 비대면 거래의 틈을 노리는 보안 위협의 역기능도 수반했다.

전자금융 위협요소가 증가함에 따라 금융당국은 금융회사들의 IT보안 강화를 위해 보안 인력을 확충하도록 의무화하며, 정보보호최고책임자(CISO) 임명, 전임직원의 정보보호 교육 최소 이수 시간 제시 등 인적 보안강화 지침을 내렸다. 전산시스템 운용 및 관리 등은 결국 사람이 하는 일이므로 인적 관리가 그 무엇보다 중요하기 때문이다.

이를 위한 가장 기본적이면서도 중요한 요소는 임직원의 정보보호 교육일 것이다. 그렇기에 금융 당국에서도 정보보호 교육 최소 이수 시간을 제시하였고, 일부 금융회사는 정보보호 교육을 위해 내부적으로 프로그램을 제작하거나 외부 전문 강사를 초빙하는 등의 노력을 하고 있다.

이와 더불어 많은 금융회사들은 금융정보보호교육 전문기관을 이용함으로써 보다 체계적인 학습 진행과 업무의 효율성 증대를 도모하고 있다. 금융보안연구원은 금융회사 임직원을 대상으로 ‘금융정보보호’라는 큰 주제 안에서, 보안 및 IT 담당자를 위한 다양한 실습 위주의 실무(집합)교육과 전임직원 대상의 온라인 교육 과정을 무료로 운영하고 있다.

특히 올해는 기본 소양부터 직무 강화까지 교육대상을 폭 넓게 아우르는 콘텐츠를 운영하며, 효율적인 교육 진행이 가능하다는 장점으로 많은 금융회사에서 온라인 교육을 선호하는 추세이다. 2012년 11월 말 기준으로 금융보안연구원 130개 회원사 중 79개 회원사의 15만명 이상이 온라인 교육 프로그램을 이용하였으며, 연말까지는 17만명의 인원을 예상하고 있다.

연초 예상했던 10만명을 훨씬 웃도는 수준이며, 지난해보다 4배 이상 증가한 수치이다. 실무(집합)교육 또한 올 한해 400여명이 교육을 수료하여 지난해에 비해 2배 이상 증가하였다. 이는 금융 당국의 정책과 함께 금융정보보호 교육에 대한 금융회사의 높은 관심과 참여가 반영된 것이라 생각된다. 양적인 증대뿐만이 아니라 금융회사들의 평균 수료율이 80% 이상이라는 점도 상당히 고무적이다. 심지어 99% 혹은 100%의 수료율을 기록한 회사도 있다. 비단 이 금융회사들의 임직원 수가 다른 회사보다 적어서는 아니다.

이러한 놀라운 성과를 거둔 금융회사의 경우 공통점이 있는데 바로 경영진의 관심과 의지이다. 임원이 앞장서서 최소 이수 교육시간과 상관없이 온라인교육 전 과정을 수강하기도 하고 또, 직접 직원들을 독려하여 금융보안 교육의 중요성을 강조하니 당연히 수료율이 높을 수 밖에 없는 것이다. 이처럼 경영진의 관심과 의지가 중요하다는 의미인데 점점 더 많은 금융회사의 경영진들이 정보보호의 중요성을 깨닫고 교육에 많은 관심을 보인다는 점은 참으로 다행이다.

또한 금융회사 교육 담당자들이 과거에 비해 교육 과정 및 운영에 대한 많은 의견을 제시한다는 점도 교육에 대한 높은 관심의 표현이 아닐까 한다. 실무(집합) 교육의 경우, 종전에는 정보보호 인식 제고 및 보안 전반에 대한 기초 교육에 대한 수요가 높았다면, 최근에는 ‘시큐어 코딩’이나 ‘네트워크 패킷 분석’ 같은 좀 더 전문적인 교육 과정에 대한 수요가 증대되고 있으며 요구사항이 명확해지고 있다는 것이 특징이다.

금융정보보호 강화를 위한 긍정적인 움직임에 한 가지 더 바란다면 이러한 정보보호 교육이 단순한 최소 교육 시간 이수에 그치지 않고 지속적인 관심과 반복 학습을 통한 인식 전환으로 이루어졌으면 하는 것이다. 한 번의 교육으로 모두가 정보보호에 대한 중요성을 깨닫고 변화할 수 있다면 더할 나위 없이 좋겠지만, 사람은 시간이 지나면 잊기 마련이다. 그렇기 때문에 무엇보다도 지속적이고 반복적인 학습이 중요할 것이다.

또한 바쁜 업무 중에 본인의 시간을 투자하여 진행하는 만큼 단순히 법적 규제에 따라 의무적으로 받는 교육이 아니라 실질적으로 도움이 되었으면 한다. 나의 사소한 부주의와 실수가 회사의 미래를 좌우할 수 있다는 사실을 명심하고 스스로의 보안의식을 강화하는 계기가 되어야 할 것이다. IT보안은 회사내의 몇몇 전문가 혹은 보안 관련 부서에 의해서만 이루어지는 것이 아니라 사내의 모든 구성원이 적극적이고 능동적으로 대응할 때 보안 수준을 한 단계 높일 수 있다.

금융보안연구원은 매년 교육 콘텐츠를 개발하고 직무별, 직급별 대상에 맞는 교육 커리큘럼을 다양화하는 등 보다 효과적인 전문화 교육을 위해 다각도의 방안을 모색 중이다. 앞으로도 많은 금융회사 회원사들이 실질적으로 필요로 하는 교육서비스를 원하는 시점에 제공할 수 있는 금융정보보호교육 전문기관으로 자리매김 할 수 있도록 노력할 것이다.

관리자 기자