금융권, 보안 강화 위해 내부통제 개선 나서

가 +
가 -

농협과 현대캐피탈 등 금융권 보안 사고가 발생하자 지난 6월23일 금융위원회와 금융감독원은 향후 보안 사고를 방지하기 위해 ‘IT보안강화대책’을 발표했다.

IT보안강화대책은 의무적으로 정보보호 최고책임자(CISO)를 지정해야 하고, IT보안을 전담하는 인력과 이를 위한 예산도 일정 비율 이상 확보해야 하는 등의 내용을 담았다.

2개월 정도가 지난 지금, 금융권의 보안 관련 정책들은 어떤 방향으로 움직이고 있을까?

이와 관련해 최근 금융보안연구원은 보안강화대책 이후 금융회사의 업무환경 변화 등에 대해 설문조사를 실시했다.

설문조사는 이메일로 진행됐으며, 금융회사 IT 보안담당 임직원 400여명이 참여했다.

설문결과에 따르면 이들은 IT보안강화대책 발표 이후 생긴 주요 변화(복수응답)로 ‘내부통제 개선(44%)’과 ‘보안기술 인프라 확충(40%)’ 등을 꼽았다.

또 이들은 IT 보안 계획과 주요 관련 사항에 대한 의사결정을 최고경영자(CEO)가 직접 챙기는 일이 많아졌다고 응답했다.

IT보안강화대책 발표 이전에는 최고경영자가 보안에 대해서 의사결정을 내렸다고 응답한 사람의 19%에 불과했으나, 발표 이후에는 37%에 달해 IT보안에 대한 경영진의 인식이 크게 제고했음을 보여줬다.

보안강화 종합대책 이행 관련해서는, CISO를 이미 지정했거나 임명을 계획 중이라고 답한 응답자가 60%로, 전반적으로 CISO 지정에 대해 긍정적 움직임을 보이는 것으로 나타났다.

다만 CISO를 임명하지 못한 응답자의 49%가 인력수급 문제로 어려움으로 지적해, 향후 이와 관련한 대책 마련이 필요할 것으로 보인다.

또한 응답자의 약 63%가 이번 종합대책 발표 후 ‘대부분의 금융사업에서 IT보안예산이 이뤄졌다’고 응답했으며, 동시에 IT보안기술 인프라를 도입했거나 예정이라고 답한 응답자는 80% 이상으로 나타났다.

응답자의 84%는 종합대책 후 ‘IT보안기술 인프라를 도입했거나 도입할 예정’이라며, IT 보안 기술 인프라 개선을 위해 취약점 점검, 시스템 계정관리 강화, 해킹피해 최소화를 위한 시스템 개선, 휴대용 저장매체 보안통제 강화, 망분리 등 접속경로 통제 강화를 도입하거나, 고려중(복수응답)이라고 답했다.

향후 종합대책의 성실한 이행과 실효성 증대를 위해 필요한 사항에 대해 응답자들의 63%는 IT보안강화 종합대책 실효성 증대를 위해 ‘금융회사 임직원 보안의식 제고와 투자확대’를 꼽았으며, 그 외 금융사와 금융기관 간 유기적 대응 강화(12%), 감독당국의 지속적 관리감독(12%)가 뒤를 이었다.

금융보안연구원 관계자는 “이번 설문조사로 금융권들이 어떤 방향으로 보안강화를 위해 움직이고 있는지 알게됐다”며 “향후 효울적인 보안강화 관련 정책을 구성하는데 참고할 예정”이라고 말했다.