근본적으로 '절대보안'이란 불가능하다. 나날이 발전하는 전자금융환경과 복잡ㆍ다양해지는 침해행위에 대한 선제적 대응은 쉽지 않다. 그렇기 때문에 금융당국은 그동안 현실적인 대안으로 규제 중심의 기술적ㆍ정책적 대응에 집중해 왔다. 이런 대처방식은 분명 효과 측면에서 성과를 거뒀으나, 금융회사 등의 자율적인 노력을 활발히 촉진시키지는 못했다. 기존의 금융당국 중심의 기술적ㆍ정책적 대응의 한계를 극복하기 위한 혜안이 필요하다.
하지만 몸에 배인 습관을 변화시키기 어렵듯이 금융보안을 문화로 받아들이는 일도 만만치 않다. 스위스 프리부르 대학의 토마스 슐링거(Thomas Schlienger)와 스테파니 토이플(Stephanie Teufel)은 보안문화의 정착을 '마케팅믹스 4P' 즉 상품(Product), 가격(Price), 판매장소(Place), 판매촉진(Promotion)에 빗대어 쉽게 설명하고 있는데 간략히 소개한다.
첫째, 상품은 '정보보안'이다. 이 상품은 임직원들이 매력을 느낄 만한 특별한 품질과 포장이 필요하며 보안 툴(security tool), 정책ㆍ매뉴얼ㆍ과정 등이 그것이다. 보안 툴은 가용성이 높아야 하고 정책ㆍ매뉴얼ㆍ과정은 동기를 유발시켜야 한다. 국내 금융권에서 추진되고 있는 '금융보안 관리체계 인증제도'도 매력적인 도구 중 하나다.
셋째, 판매장소로써 정보보안을 유통시키는 조직과 채널이 필요하다. 조직은 ITㆍ보안 또는 인사 부서 등을 의미하고, 채널은 직간접 형태를 모두 포함한다. 예를 들어 정보보호최고책임자(CISO)는 직접 스스로 정보보안을 접할 수 있는 반면 각각의 부서장들은 간접적으로 정보보안을 접할 기회가 많다. 이는 IT보안 법규를 잘 준수하기 위해 금융회사 전 직원에 대한 금융보안 내부통제 강화가 필요한 이유이기도 하다.
넷째, 정보보안의 판매촉진을 위한 다른 전달수단으로 사보ㆍ인트라넷ㆍ가이드라인ㆍ게시판 등 미디어를 활용할 수 있다.
보안문화는 신념에 기초한다. 다시 말해 자신이 처리하는 정보가 중요하고, 보호할 가치가 높다는 점을 인식해야 한다. 특히 금융분야는 다른 분야에 비해 신용정보와 질병정보 등 처리하는 정보의 중요도와 민감도가 높고 처리량도 많으므로 이 같은 인식이 더욱 절실하다. 그러나 임직원들이 금융보안을 어려운 숙제로 받아들인다면 문화로 정착하기까지 오랜 시간이 걸릴 수 있다. 금융보안을 조직 내 문화로 받아들이기 위해 쉬운 접근방식에 대한 고민이 필요하다. 이와 더불어 보안문화가 정착되기 위해서는 이사회, 최고경영자, CISO, 감사위원회를 망라하는 금융보안 거버넌스 확립을 위한 제도 개선도 시급하게 논의되고 도입돼야 한다.
김영린 금융보안연구원장
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>