허창언 금융보안원장
한편에서는 그동안 업무 수행의 지침 역할을 하던 규제가 완화돼 오히려 의사 결정이 어려워졌다는 목소리가 들리기도 한다. 당국이 제시한 규제 준수에 주안점을 두었던 이전의 관성이 아직 금융보안 현장에 남아 있는 탓이다. 금융회사의 보안 투자와 인력 규모를 결정하는 기준으로 작용하던 소위 ‘5·5·7 규정’(금융회사 전체 인력의 5% 이상을 IT 인력으로 확보, IT 인력 중 5% 이상을 보안에 배치, IT 예산의 7% 이상을 정보보호에 투자)과 같은 당국의 ‘규제적 리더십’이 지금까지의 국내 금융보안을 다른 산업 분야에 비해 상당히 높은 수준으로 이끌어 온 것은 사실이다. 하지만 자율과 혁신으로 대표되는 핀테크 시대에는 이에 걸맞은 금융보안의 새로운 리더십이 필요하다.
규제적 리더십이 사라진 금융보안의 현장을 발전적인 미래로 이끌어 나갈 자율보안 시대의 리더는 바로 금융회사의 최고경영자(CEO)를 비롯한 경영진이다. 금융회사의 경영진이 과거와 같이 정보보호최고책임자(CISO)와 보안전담 조직에 관련 업무를 일임하고 때때로 보고를 받는 것만으로는 지속적으로 증가하는 보안 위협에 제대로 대응할 수가 없다. 이제는 보안의 문제가 보안전담 조직에만 국한된 것이 아니라 금융회사 전체가 함께 고민해야 할 만큼 보안 위협이 다양해지고 사고 발생 시 경영에 미치는 파급력도 매우 커졌기 때문이다.
앞서 일본에서도 이러한 변화에 발맞추어 경영자에게 인식 제고 및 적극적인 대응을 주문하는 ‘사이버 보안 경영 가이드라인’이 2015년 12월 제정됐다. 이처럼 앞으로의 보안 위협에 효과적으로 대처하기 위해서는 금융회사의 경영진이 보안을 경영 리스크의 한 가지로 인식하고 대응해야 한다.
아울러 자율 보안으로의 패러다임 변화를 주도한 금융 당국은 금융회사 경영진의 역할 강화와 리더십 발휘에 성공 여부가 달려 있음을 인식해야 한다. 이를 위해 세 가지 정책을 제안하고자 한다. 첫째, 세세한 보안 관련 규제를 완화하는 대신 금융회사 경영진의 보안 관련 리스크에 대한 역할과 책임을 강화해야 한다. 지금까지 규제에 의해 끌려다니던 보안 업무가 경영진의 자율적인 리더십에 의해 추진되도록 전환하자는 것이다. 둘째, 경영진에 대한 보안 교육이 형식적으로 수행되지 않도록 보안 교육의 내용과 방법 등을 개선할 필요가 있다. 이러한 교육을 통해 경영진이 자사의 보안 관련 리스크를 충분히 이해하고 적절한 대응을 지시할 수 있도록 지원해야 한다. 셋째, 금융보안에 대한 경영진의 리더십을 평가하고 모범이 되는 금융회사에 대해서는 다양한 인센티브를 제공하는 등의 촉진 정책이 필요하다. 예를 들어 금융회사에 대한 감독·검사 시 보안 강화와 소비자 보호를 위해 금융회사가 투자한 노력을 감안함으로써 경영진이 보안 관련 사항을 직접 챙기도록 유도할 수 있을 것이다.
핀테크 산업 활성화를 위한 금융 당국의 정책 변화에서 시작된 자율보안 체계는 이제 서서히 금융보안 및 금융 소비자 보호 강화라는 가시적인 성과를 나타낼 시점에 이르고 있다. 금융회사 경영진의 적극적인 리더십 발휘와 금융 당국의 발 빠른 정책 지원을 통해 성공적인 금융권 자율보안 시대가 도래하길 기대한다.
2016-09-30 29면
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지