금융정보보호, 경영진의 의지가 관건

금융보안연구원 홍시환 책임연구원

금융회사의 정보 보호가 서로 분리 운영되는 것은 효율성만 해쳐

기업의 법규준수율 향상을 위해 규제기관및 협회 등의 지원 절실

전 세계적으로 소비자 보호, 개인정보보호 등을 위한 다양한 법규들이 존재하며, 이를 위반하는 경우 최고경영책임자 또는 임원진을 직접적으로 처벌하는 등 그 제재 수준이 갈수록 높아지고 있다. 국내 환경도 마찬가지로 지난 몇 년간 개인정보 유출사건, 금융전산망 마비 등 각종 보안사고의 발생으로 금융, 통신, 의료, 교육 등 각 산업 분야별로 정보보호 및 개인정보보호에 대한 규제를 강화하고 있는 추세이다.

최근 금융권의 경우 전자금융거래의 안전성 및 신뢰성 확보를 위한 전자금융거래법, 감독규정, 모범규준 등의 직접적인 규제 사항을 비롯해 개인정보 생명주기별 보호, DB암호화 등 개인정보보호법 준수를 위한 컴플라이언스 활동이 크게 증가하고 있다.

특히 관련 법규 위반 시 심각한 경제적 손실, 신뢰도 및 인지도 하락, 비즈니스 기회 상실 등과 같은 위험에 직면할 수 있기 때문에 금융회사는 보다 적극적이고 자발적인 컴플라이언스 활동을 수행하고 있다. 그럼에도 불구하고 일반적으로 정보보호와 관련한 모든 법규에 대해 완벽하게 대응하는 것은 상당히 어려운 일이다. 금융권의 경우 정보보호 인력을 IT인력의 5% 이상, 정보보호 예산을 IT예산의 7% 이상 확보하도록 권고하고 있어 그나마 일반기업에 비해 나은 형편이기는 하지만 모든 정보보호 컴플라이언스의 요구사항들을 일일이 대응하는데 한계가 있다.

이러한 한계점으로는 첫째, 정보보호 관련 법규의 경우 그 특성상 보다 전문적이고 기술적인 지식이 요구되기 때문에 숙련된 전문 인력의 확보가 어렵다. 둘째, 정보보호 관련 법규는 규제 기관별로 다양하게 존재하고, 각 법률간 유사 또는 상충되는 부분이 존재한다. 셋째, 정보보호 관련 법규의 요구사항을 적절하게 구현하는데 참고할 수 있는 각종 모범 사례 등이 부족하다. 넷째, 법률 규제 사항은 기업이 갖춰야 하는 가장 최소한의 사항으로 인식되면서 보다 높은 수준의 정보보호 대책을 요구받고 있다.

이러한 현실적인 어려움을 감안해볼 때 기업의 법규 준수율을 향상시키고 기업의 컴플라이언스 비용 부담을 감소시키기 위해서는 관련 규제기관, 협회, 연구소 등에서의 지원이 절실히 필요하다. 가령, 영국의 경우 데이터보호법(Data Protection Act)에 따른 금융회사의 컴플라이언스 활동을 지원하기 위해 영국 금융감독청(FSA)이 법규 준수 프로그램인 BS8453(Compliance Framework for Regulated Financial Services Firms-Specification) 표준 개발에 적극 참여한 바 있다.

또한 관련 협회 등에서는 금융회사가 준수해야 하는 관련 모든 법률 요구사항을 조사하여 각 법률간 중복 또는 상충되는 조항들을 도출하고 단일화된 통제항목을 제공함으로써 금융회사의 컴플라이언스 활동을 지원할 수도 있다. 실제 Network Frontiers 社에서는 이러한 모델에 기반하여 전 세계 국가에서 시행 중인 법률 요구사항을 Microsoft, McAfee 등 글로벌 기업에 유료로 서비스를 제공하고 있다.

또다른 방안으로 보안 컴플라이언스와 정보보호 관리에 대한 연계도 고민해볼 필요가 있다.

다시 말하면 이미 ISO27001, KISA ISMS 등을 구축하여 운영 중인 기업의 경우 관련 법규 요구사항을 효과적으로 연계시킬 수 있는 방안에 대한 고민도 필요하다. 좋은 사례로 국내 개인정보보호 관리체계인 PIMS(Personal Information Management System)의 경우 정보통신망법의 개인정보보호 관련 법규 요구사항을 위험감소를 위한 필수 보호대책으로 적용한 사례를 들 수 있다.

끝으로 기업은 보안 컴플라이언스와 정보보호 수준 강화를 위해 끊임없이 노력해야 한다. 이를 위해서는 조직의 경영진으로부터 시작되는 Top Down 방식의 강력한 컴플라이언스 문화를 우선적으로 조성할 필요가 있다. 보안 컴플라이언스와 금융 정보보호를 체계적으로 운영하기 위한 기존 조직의 역할과 책임에 대한 재정립도 필요하다.

특히 금융회사의 특성상 준법감시부서, 감사부서, IT부서, 보안전담부서 등으로 보안 컴플라이언스를 위한 노력들이 서로 분리 운영되는 경우 자칫 기업 내의 자원을 효율적으로 사용하지 못하는 한계에 부딪힐 수 있기 때문이다. 이와 관련하여 금융보안연구원은 지난해 전자금융거래법 중심의 ‘금융IT 보안 컴플라이언스 참조 가이드’를 개발하여 회원사에 배포한 데 이어, 금년 상반기 중으로는 개인정보보호법 중심의 참조 가이드를 추가로 개발하여 회원사의 컴플라이언스 활동을 적극 지원할 방침이다.

관리자 기자