[CEO단상]금융보안, 문화로 정착시키기

김영린 금융보안연구원장

금융당국은 올해 초 업무보고에서 '국민신뢰 회복'의 기치 아래 금융질서 확립 및 국민신뢰 증진을 위한 과제로 정보 수집ㆍ보유 제한, 내부통제 강화, 전자금융 인증체계 개편 등을 제시했고 금융회사들은 최근 보안수준 상향 평준화 목표를 제시하는 등 신뢰 회복에 매진하고 있다. 연이어 발생한 금융사고를 계기로 금융분야에서 정보기술(IT)보안을 통한 신뢰 회복이 화두로 떠오르고 있다.

근본적으로 '절대보안'이란 불가능하다. 나날이 발전하는 전자금융환경과 복잡ㆍ다양해지는 침해행위에 대한 선제적 대응은 쉽지 않다. 그렇기 때문에 금융당국은 그동안 현실적인 대안으로 규제 중심의 기술적ㆍ정책적 대응에 집중해 왔다. 이런 대처방식은 분명 효과 측면에서 성과를 거뒀으나, 금융회사 등의 자율적인 노력을 활발히 촉진시키지는 못했다. 기존의 금융당국 중심의 기술적ㆍ정책적 대응의 한계를 극복하기 위한 혜안이 필요하다.

대부분의 금융회사 직원들은 고객정보를 처리하면서 유출의 유혹을 받을 수 있다. 정보보안은 내부통제계획 수립, 정보시스템 보호 등 전문성을 갖춰야 할 수 있는 업무만 포함하지 않는다. 즉 고객정보ㆍ명함 등을 폐기하는 행위도 포함되므로 전사적 차원에서 임직원이 보안업무를 담당한다. 따라서 금융회사가 보안을 위해 마련한 규정ㆍ정책ㆍ업무방식 등은 그 조직 전반에 영향을 미치는 보안 생활양식이며 '금융보안문화'라고 표현할 수 있다. 금융보안을 더 이상 기술적ㆍ정책적 관점에서 바라보지 말고 금융회사의 모든 임직원들이 자연스럽게 체득해야 할 문화로 인식해야 한다.

하지만 몸에 배인 습관을 변화시키기 어렵듯이 금융보안을 문화로 받아들이는 일도 만만치 않다. 스위스 프리부르 대학의 토마스 슐링거(Thomas Schlienger)와 스테파니 토이플(Stephanie Teufel)은 보안문화의 정착을 '마케팅믹스 4P' 즉 상품(Product), 가격(Price), 판매장소(Place), 판매촉진(Promotion)에 빗대어 쉽게 설명하고 있는데 간략히 소개한다.

첫째, 상품은 '정보보안'이다. 이 상품은 임직원들이 매력을 느낄 만한 특별한 품질과 포장이 필요하며 보안 툴(security tool), 정책ㆍ매뉴얼ㆍ과정 등이 그것이다. 보안 툴은 가용성이 높아야 하고 정책ㆍ매뉴얼ㆍ과정은 동기를 유발시켜야 한다. 국내 금융권에서 추진되고 있는 '금융보안 관리체계 인증제도'도 매력적인 도구 중 하나다.

둘째, 비록 실제 가격으로 환산할 수는 없지만 새로운 수단과 절차를 익혀야 한다는 부담감을 심리적 비용으로 추산할 수 있다. 임직원의 심리적 부담비용을 낮추는 방안으로 적절한 인센티브 시스템도 함께 마련돼야 한다.

셋째, 판매장소로써 정보보안을 유통시키는 조직과 채널이 필요하다. 조직은 ITㆍ보안 또는 인사 부서 등을 의미하고, 채널은 직간접 형태를 모두 포함한다. 예를 들어 정보보호최고책임자(CISO)는 직접 스스로 정보보안을 접할 수 있는 반면 각각의 부서장들은 간접적으로 정보보안을 접할 기회가 많다. 이는 IT보안 법규를 잘 준수하기 위해 금융회사 전 직원에 대한 금융보안 내부통제 강화가 필요한 이유이기도 하다.

넷째, 정보보안의 판매촉진을 위한 다른 전달수단으로 사보ㆍ인트라넷ㆍ가이드라인ㆍ게시판 등 미디어를 활용할 수 있다.

보안문화는 신념에 기초한다. 다시 말해 자신이 처리하는 정보가 중요하고, 보호할 가치가 높다는 점을 인식해야 한다. 특히 금융분야는 다른 분야에 비해 신용정보와 질병정보 등 처리하는 정보의 중요도와 민감도가 높고 처리량도 많으므로 이 같은 인식이 더욱 절실하다. 그러나 임직원들이 금융보안을 어려운 숙제로 받아들인다면 문화로 정착하기까지 오랜 시간이 걸릴 수 있다. 금융보안을 조직 내 문화로 받아들이기 위해 쉬운 접근방식에 대한 고민이 필요하다. 이와 더불어 보안문화가 정착되기 위해서는 이사회, 최고경영자, CISO, 감사위원회를 망라하는 금융보안 거버넌스 확립을 위한 제도 개선도 시급하게 논의되고 도입돼야 한다.

김영린 금융보안연구원장