최한묵 국장, 금융권 정보보호 거버넌스 간담회서 밝혀 김종영 편집장 sisacolumn@ciomediagroup.com “지난해 농협, 현대캐피탈, 하나SK카드 등 금융권에서 발생한 보안사고와 기본을 지키지 않는 곳이 있어 정보보호와 관련 각종 법과 제도가 강하게 만들었다.” BizIT가 지난 4월 19일 개최한 ‘금융권 정보보호 거버넌스 간담회’에 참석한 최한묵 금융감독원 IT감독국장은 “지난해 거버넌스를 어디까지 해야 할 것인가를 놓고 고민을 했는데, CEO의 관심을 높일 수 있도록 하는 데에 최우선을 놓았고, 이를 위해 책임을 강화했다”고 말했다. 최 국장은 또 보안사고 외에 하나SK나 한화 같은 곳은 기본적인 룰이 있었으나 실제 운영을 하지 않아 5·5·7 룰을 만들게 됐고 강제성과 CEO 책임을 강화하게 됐다고 밝혔다. 최 국장은 “보안사고가 난 이후 통제권이 필요하고 이를 위한 기본과 원칙이 필요하다는 생각이 있었다”며 “거버넌스란 말은 너무 거창한 것 같은데, 일단 뭔가 룰을 만들자는 게 기본 취지였다. 또 금융감독원이 하는 게 낫겠다는 얘기가 있어서 금융위원회와 함께 5·5·7 룰을 만들게 됐다. 이 룰은 IT 입장에서는 투자할 때 근간이 되는 자료와 근거를 알 수 있게 하기 위한 것”이라고 설명했다. 그는 또 맞지 않는 부분이 있을 경우 징계하는 것을 우선할 것이 아니라 적극 반영해서 고쳐나갈 것이라는 입장도 덧붙였다. 서춘석 신한은행 IT개발본부장은 “현업 부분에서 정보보호 사각지대가 발생하고 있어 거버넌스 차원에서 이에 대한 관심을 키워야 한다”고 말했다. 서 본부장은 또 “IT와 IT 아닌 것의 경계와 책임에 대한 정책도 필요하다”고 덧붙였다. 김경수 KEB외환은행 IT본부장은 국내 IT 인프라와 관련 “해외에서 실사를 받은 경험이 있다”면서 “국내외 수준을 비교할 때는 전산화 수준을 평면으로 보는 것은 곤란하다”고 지적했다. 이에 대해 김 본부장은 다른 나라의 경우 한국처럼 IT 인프라가 발달하지 않아 금융 수준을 평가할 때 특정 부분에 한정해 바라보는 것은 적절하지 않기 때문이라고 설명했다. 한편 이날 간담회에서는 보안과 성능의 이율배반적 상황에 높인 IT의 고민, 아웃소싱과 자회사를 아우르는 정보보호 거버넌스 필요성, 창 막아낼 수 있도록 방패에 대한 관심과 지원에 대한 논의와 함께 보안은 감독이나 코치보다 선수가 더 중요하며, 사고 자체보다 사후 대책 위한 정보 공유의 필요성 등 유익한 내용이 나왔다. 이날 간담회는 최한묵 금융감독원 IT감독국장, 서춘석 신한은행 IT개발본부장, 황만성 IBK기업은행 부행장, 김경수 KEB외환은행 IT본부장, 김홍수 KB국민은행 IT보안관리부장, 김홍선 안랩 대표, 박태완 JS시큐리티 대표 등이 참석했다.