[뷰앤비전]금융사 IT리스크 최소화 방안

최근들어 빈발하고 있는 금융권의 IT사고는 금융회사 내부통제의 복합적인 실패가 그 원인이라고 생각한다. 기술적인 취약점으로 인하여 해킹을 당하기도 하지만 내부직원에 의한 고의적인 정보유출이나 IT아웃소싱에 대한 적절한 통제가 미흡해 발생하는 경우도 많다.

또 IT사고가 발생한 후에는 업무를 정상화하기 위한 비상대책이 제대로 운영되지 않거나 사고 원인을 재빨리 파악하지 못해 상황을 더욱 악화시키는 경우도 드물지 않다.

최근 정부는 금융회사에 대하여 정보보호 인력과 예산을 일정 규모 이상으로 늘리도록 하고 정보보호최고책임자(CISO) 지정을 의무화하는 것을 제도화했다. 또 감독당국은 금융회사의 전반적인 경영실태평가에 IT부문을 비중 있게 반영하도록 하고 IT사고 발생 시 징계내용을 홈페이지에 공시하도록 함으로써, 금융회사는 평판 측면에서 불이익을 받을 가능성이 높아졌다. 　금융IT 규제 패러다임의 변화 속에서 금융회사가 IT리스크를 최소화하기 위한 몇 가지 방안을 제시하고자 한다.

첫째, 최근 금융IT 규제의 가장 큰 특징은 다수의 정부부처가 다양한 법규로 규제하고 있다는 것이다. 금융감독당국 외 여러 정부부처가 금융부문에 대한 규제와 조사를 강화하고 있는 상황이다. 금융회사는 이에 효과적으로 대응하기 위해 다양한 IT이슈, 다수의 감독기관, 복수의 IT법률 등을 다룰 수 있는 전문적인 역량을 갖출 필요가 있다. 또 최고 경영진들이 참여하는 전사적 정보보호체계를 구축하는 게 매우 중요하다. 정보보호를 포함한 중요한 IT현안은 CEO가 직접 챙겨야 하고 이사회에 보고돼야 할 것이다.

둘째, 금융회사에 대해서는 일반적으로 그 공공적 성격을 반영해 고객정보보호에 관해 통상보다 훨씬 높은 선관주의의무를 요구하고 있다. 이는 고객정보보호 의무를 위반하는 경우 금융회사는 막대한 재산상의 손해를 부담할 가능성이 매우 높고 임직원은 사안에 따라 형사책임까지도 질 수 있다는 것을 의미한다. 이런 면에서 IT보안전문가들이 기술적인 방법으로만 대응하는 것으로는 충분하지 않고 IT전문가와 컴플라이언스전문가가 함께 참여해 기술적인 안전성과 법적 규제 준수 여부를 엄격히 할 필요가 있다.

셋째, 금융업은 주민등록번호와 같은 고유식별정보 및 신용정보 등 민감한 개인정보를 토대로 비즈니스를 하기 때문에 개인정보보호에 있어 고위험 분야로 인식돼 왔다. 특히 개인정보보호법은 금융 비즈니스의 관행에서 큰 변화를 요구하고 있다. 따라서 개인정보를 수집ㆍ이용ㆍ제공하는 현행 프로세스를 새롭게 개편함으로써 고객정보도 보호하고 임직원의 법적 리스크도 최소화하려는 노력이 중요하다.

넷째, 금융회사는 해킹, IT장애, 정보유출사고 등이 발생할 경우를 대비해 위기대응 행동매뉴얼을 완벽하게 마련해야 하고 실효성 있는 업무지속성계획을 운용해야 한다. 고객정보 유출사고가 나는 경우 형사책임, 집단소송, 고객민원, 언론보도, 정부당국의 조사 등 다양한 상황과 복잡한 이슈가 동시에 제기된다. 이런 상황에서는 IT, 고객관리, 영업, 준법감시부서의 임직원이 참여하는 긴급대응팀을 구성해 신속한 대응이 중요하다. 필요한 경우 사고대응 외부전문가와 협업하는 방안도 염두에 둬야 한다.

IT가 금융회사의 지속경영을 위한 핵심역량이 된 지 오래다. 앞으로 금융서비스는 IT를 기반으로 더욱 혁신될 것이다. 최근의 규제 변화를 바로 인식하고 완벽한 금융IT 관리체계를 갖추는 금융회사만이 시장의 리더가 될 것이다.

최재환 김앤장 금융IT전문위원