또 IT사고가 발생한 후에는 업무를 정상화하기 위한 비상대책이 제대로 운영되지 않거나 사고 원인을 재빨리 파악하지 못해 상황을 더욱 악화시키는 경우도 드물지 않다.
첫째, 최근 금융IT 규제의 가장 큰 특징은 다수의 정부부처가 다양한 법규로 규제하고 있다는 것이다. 금융감독당국 외 여러 정부부처가 금융부문에 대한 규제와 조사를 강화하고 있는 상황이다. 금융회사는 이에 효과적으로 대응하기 위해 다양한 IT이슈, 다수의 감독기관, 복수의 IT법률 등을 다룰 수 있는 전문적인 역량을 갖출 필요가 있다. 또 최고 경영진들이 참여하는 전사적 정보보호체계를 구축하는 게 매우 중요하다. 정보보호를 포함한 중요한 IT현안은 CEO가 직접 챙겨야 하고 이사회에 보고돼야 할 것이다.
둘째, 금융회사에 대해서는 일반적으로 그 공공적 성격을 반영해 고객정보보호에 관해 통상보다 훨씬 높은 선관주의의무를 요구하고 있다. 이는 고객정보보호 의무를 위반하는 경우 금융회사는 막대한 재산상의 손해를 부담할 가능성이 매우 높고 임직원은 사안에 따라 형사책임까지도 질 수 있다는 것을 의미한다. 이런 면에서 IT보안전문가들이 기술적인 방법으로만 대응하는 것으로는 충분하지 않고 IT전문가와 컴플라이언스전문가가 함께 참여해 기술적인 안전성과 법적 규제 준수 여부를 엄격히 할 필요가 있다.
넷째, 금융회사는 해킹, IT장애, 정보유출사고 등이 발생할 경우를 대비해 위기대응 행동매뉴얼을 완벽하게 마련해야 하고 실효성 있는 업무지속성계획을 운용해야 한다. 고객정보 유출사고가 나는 경우 형사책임, 집단소송, 고객민원, 언론보도, 정부당국의 조사 등 다양한 상황과 복잡한 이슈가 동시에 제기된다. 이런 상황에서는 IT, 고객관리, 영업, 준법감시부서의 임직원이 참여하는 긴급대응팀을 구성해 신속한 대응이 중요하다. 필요한 경우 사고대응 외부전문가와 협업하는 방안도 염두에 둬야 한다.
IT가 금융회사의 지속경영을 위한 핵심역량이 된 지 오래다. 앞으로 금융서비스는 IT를 기반으로 더욱 혁신될 것이다. 최근의 규제 변화를 바로 인식하고 완벽한 금융IT 관리체계를 갖추는 금융회사만이 시장의 리더가 될 것이다.
최재환 김앤장 금융IT전문위원
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>