바젤 은행감독위원회의 12가지 운영 위험의 건전한 관리 원칙을 통해 본 은행의 운영 안정성
[보안뉴스= 김태성 한국정보보호학회 보안거버넌스연구회장] 조직의 운영안정성을 보장하기 위해서는 기술적인 조치뿐만 아니라 거버넌스 관점에서의 다양한 조치가 필수적이다. 정보보안의 목표가 일부 부서나 장비의 기능적인 성과에 한정되지 않고, 궁극적으로 조직 차원에서의 경영 효율과 효과를 달성하는 것을 지원하는 역할을 해야 할 것이다. 통상적으로 보안위험은 조직의 운영 위험의 중요한 구성요소로 취급된다. 최근 은행의 운영 위험을 적절하게 관리해 운영안정성을 보장하기 위한 국제적인 움직임을 ‘국제결제은행(Bank of International Settlement)’의 활동을 통해 소개하고, 보안 거버넌스와의 관련성을 설명하고자 한다.
▲국제결제은행[이미지=국제결제은행]
2021년 3월, 바젤 은행감독위원회(the Basel Committee on Banking Supervision, BCBS)는 운영 위험의 건전한 관리 원칙(the Principles for the Sound Management of Operational Risk, PSMOR)에 대한 개정안을 발표했다. 이 원칙은 2003년에 도입되었으며 이후 2011년에 개정되어 금융위기의 교훈을 반영했다. 2021년 개정에는 여러 원칙이 적절하게 구현되지 않았으며, 운영 위험의 특정 중요한 원인을 충분히 포착하지 못했다는 2014년 검토 결과가 반영됐다. 운영 위험은 모든 은행 상품, 활동, 프로세스와 시스템에 내재되어 있다. 건전한 운영 위험 관리는 제품, 활동, 프로세스와 시스템 포트폴리오를 관리하는 이사회와 고위 경영진의 효율성을 반영한다. PSMOR과 정기적인 업데이트는 은행 시스템 전반에 걸쳐 운영 위험 관리의 효율성을 높이는 것을 목표로 한다. 이는 모든 은행과 관련된 건전한 관행을 반영한다. 그러나 BCBS는 은행이 원칙을 이행할 때 활동의 성격, 규모, 복잡성 및 위험 프로필을 고려해야 한다고 권고한다.
2021 PSMOR의 12가지 원칙은 거버넌스, 위험 관리 환경, 정보통신기술(ICT), 비즈니스 연속성 계획 및 공시의 역할을 다루고 있다. 이러한 요소들이 개별적으로 존재하는 것이 아니라 은행의 운영 위험 관리 프레임워크(Operational Risk Management Framework, ORMF)와 은행의 위험 관리 프레임워크(운영 탄력성 포함)에 통합돼야 한다.
원칙 1에서 은행의 강력한 리스크 관리 문화를 촉진하는 이사회의 역할을 강조하고 있다. 이사회는 고위 경영진이 구현하는 강력한 리스크 관리 문화를 구축하는 데 주도적인 역할을 해야 하고, 핵심 정책(위험 관리, 보상, 행동 강령 또는 윤리 정책 포함)을 수립하고 정기적으로 검토 및 승인해야 한다. 이러한 정책을 통해 이사회와 고위 경영진은 강력한 위험 관리를 바탕으로 하는 기업 문화를 확립하고, 전문적이고 책임 있는 행동에 대한 표준과 인센티브를 설정하며, 직원이 적절한 위험 관리 및 윤리 교육을 받도록 해야한다. 거버넌스 관점에서 은행의 주인(principal)인 이사회와 대리인(agent)인 경영진의 역할을 충실하게 이행할 것을 요구하고 있는 것이다.
원칙 10에서 은행의 운영 리스크 프로필에 대한 ICT 리스크 관리의 중요성을 강조하고 있다. 효과적인 ICT 성능과 보안은 은행이 업무를 올바르게 수행하는 데 가장 중요하다. 따라서 은행은 운영 위험 관리 프레임워크에 맞춰 강력한 ICT 위험 관리 프로그램을 구현해야 한다. 이사회는 은행의 ICT 리스크 관리 효율성을 정기적으로 감독해야 한다. 고위 경영진은 데이터와 시스템의 기밀성, 무결성 및 가용성을 보장하기 위해 은행 ICT 위험 관리의 설계, 구현 및 효율성을 정기적으로 평가해야 한다.
원칙 12에서는 공시(disclosure)의 역할을 설명했다. 은행은 이해관계자가 은행이 운영 위험을 효과적으로 식별, 평가, 모니터링 및 통제/완화하는지 여부를 결정할 수 있도록 ORMF를 공개해야 한다. 은행은 관련 운영 리스크 노출 정보(중요한 운영 손실 이벤트 포함)를 이해관계자에게 공개해야 하며, 이러한 공개를 통해 운영 리스크(예: 해결되지 않은 통제 취약성에 대한 설명)를 생성해서는 안 된다. 은행은 고위 경영진과 이사회의 정기적이고 독립적인 검토와 승인을 받는 공식 공개 정책을 갖추어야 한다.
12가지 운영위험 관리 원칙 중 몇 가지를 발췌하여 설명했는데, 다른 원칙들도 ICT를 포함한 위험 관리와 관련되어 이사회와 경영진의 역할과 책임의 구체적인 내용이나 절차를 명시하고 있다.
은행의 운영안정성을 위한 위험 관리 원칙인 2021 PSMOR의 12가지 원칙의 보안 거버넌스 관점에서의 시사점은 다음과 같다.
· 먼저, 조직의 의사결정을 위험 기반하여 수행하라는 것이다. 위험 평가를 형식적으로 수행하거나 다른 조직 내 프로세스와 단절하지 말고, 위험 평가 결과에 기반하여 위험 관리 조치를 선택하고 위험 관리를 수행하라는 것이다.
· 다음으로, 조직의 주인인 이사회가 대리인인 경영진이 수행하는 위험 관리 프로세스에 대해 충분하게 이해해야 하고, 이사회의 이해를 위해 필요한 내용을 경영진에 요구해야 한다. CISO는 정보보호 프로세스를 정보시스템의 분류 → 통제대책의 선택 → 통제대책의 구현 → 통제대책의 평가 → 정보시스템의 승인 → 통제 대책의 모니터 절차로 수행하고 있는데, 전체 프로세스가 위험 평가 결과에 근거해 수행돼야 한다.
· 위험 평가 결과에 기반해 적정 수단을 활용한 선제 대비할 수 있도록 해야 한다. 위협 발생시 신속 대응하는 방식에서 위협을 예방하거나 예상되는 위협에 사전대응할 수 있어야 한다.
· 위험 관리를 위한 다양한 수단이 종합적으로 도입되어야 한다. 위험의 경감을 위한 기술적인 조치 위주로 도입되어온 지금까지의 관행을 사이버보험을 통한 위험 전가 등 다양한 관리적인 조치들이 고려되어야 한다.
· 설명 가능한 정보보호 활동이 수행되어야 한다. 어떤 조처를 해야 하는 것 보다는 대상 조치가 왜 필요하고 도입시 어떤 효과가 있을 것인지가 합리적으로 설명되는 것이 더 중요하다는 것이다.
2021 PSMOR이 2024년부터 국내 은행에 적용될 예정인데, 은행에서의 모범사례가 전 산업에 확산되어 보안 거버넌스의 강화를 통한 조직의 운영안정성 확보의 계기가 될 것으로 기대된다.
[글_ 김태성 한국정보보호학회 보안거버넌스연구회장, 충북대학교 경영정보학과 교수/보안경제연구소장]
[보안뉴스= 김태성 한국정보보호학회 보안거버넌스연구회장] 조직의 운영안정성을 보장하기 위해서는 기술적인 조치뿐만 아니라 거버넌스 관점에서의 다양한 조치가 필수적이다. 정보보안의 목표가 일부 부서나 장비의 기능적인 성과에 한정되지 않고, 궁극적으로 조직 차원에서의 경영 효율과 효과를 달성하는 것을 지원하는 역할을 해야 할 것이다. 통상적으로 보안위험은 조직의 운영 위험의 중요한 구성요소로 취급된다. 최근 은행의 운영 위험을 적절하게 관리해 운영안정성을 보장하기 위한 국제적인 움직임을 ‘국제결제은행(Bank of International Settlement)’의 활동을 통해 소개하고, 보안 거버넌스와의 관련성을 설명하고자 한다.
▲국제결제은행[이미지=국제결제은행]
2021년 3월, 바젤 은행감독위원회(the Basel Committee on Banking Supervision, BCBS)는 운영 위험의 건전한 관리 원칙(the Principles for the Sound Management of Operational Risk, PSMOR)에 대한 개정안을 발표했다. 이 원칙은 2003년에 도입되었으며 이후 2011년에 개정되어 금융위기의 교훈을 반영했다. 2021년 개정에는 여러 원칙이 적절하게 구현되지 않았으며, 운영 위험의 특정 중요한 원인을 충분히 포착하지 못했다는 2014년 검토 결과가 반영됐다. 운영 위험은 모든 은행 상품, 활동, 프로세스와 시스템에 내재되어 있다. 건전한 운영 위험 관리는 제품, 활동, 프로세스와 시스템 포트폴리오를 관리하는 이사회와 고위 경영진의 효율성을 반영한다. PSMOR과 정기적인 업데이트는 은행 시스템 전반에 걸쳐 운영 위험 관리의 효율성을 높이는 것을 목표로 한다. 이는 모든 은행과 관련된 건전한 관행을 반영한다. 그러나 BCBS는 은행이 원칙을 이행할 때 활동의 성격, 규모, 복잡성 및 위험 프로필을 고려해야 한다고 권고한다.
2021 PSMOR의 12가지 원칙은 거버넌스, 위험 관리 환경, 정보통신기술(ICT), 비즈니스 연속성 계획 및 공시의 역할을 다루고 있다. 이러한 요소들이 개별적으로 존재하는 것이 아니라 은행의 운영 위험 관리 프레임워크(Operational Risk Management Framework, ORMF)와 은행의 위험 관리 프레임워크(운영 탄력성 포함)에 통합돼야 한다.
원칙 1에서 은행의 강력한 리스크 관리 문화를 촉진하는 이사회의 역할을 강조하고 있다. 이사회는 고위 경영진이 구현하는 강력한 리스크 관리 문화를 구축하는 데 주도적인 역할을 해야 하고, 핵심 정책(위험 관리, 보상, 행동 강령 또는 윤리 정책 포함)을 수립하고 정기적으로 검토 및 승인해야 한다. 이러한 정책을 통해 이사회와 고위 경영진은 강력한 위험 관리를 바탕으로 하는 기업 문화를 확립하고, 전문적이고 책임 있는 행동에 대한 표준과 인센티브를 설정하며, 직원이 적절한 위험 관리 및 윤리 교육을 받도록 해야한다. 거버넌스 관점에서 은행의 주인(principal)인 이사회와 대리인(agent)인 경영진의 역할을 충실하게 이행할 것을 요구하고 있는 것이다.
원칙 10에서 은행의 운영 리스크 프로필에 대한 ICT 리스크 관리의 중요성을 강조하고 있다. 효과적인 ICT 성능과 보안은 은행이 업무를 올바르게 수행하는 데 가장 중요하다. 따라서 은행은 운영 위험 관리 프레임워크에 맞춰 강력한 ICT 위험 관리 프로그램을 구현해야 한다. 이사회는 은행의 ICT 리스크 관리 효율성을 정기적으로 감독해야 한다. 고위 경영진은 데이터와 시스템의 기밀성, 무결성 및 가용성을 보장하기 위해 은행 ICT 위험 관리의 설계, 구현 및 효율성을 정기적으로 평가해야 한다.
원칙 12에서는 공시(disclosure)의 역할을 설명했다. 은행은 이해관계자가 은행이 운영 위험을 효과적으로 식별, 평가, 모니터링 및 통제/완화하는지 여부를 결정할 수 있도록 ORMF를 공개해야 한다. 은행은 관련 운영 리스크 노출 정보(중요한 운영 손실 이벤트 포함)를 이해관계자에게 공개해야 하며, 이러한 공개를 통해 운영 리스크(예: 해결되지 않은 통제 취약성에 대한 설명)를 생성해서는 안 된다. 은행은 고위 경영진과 이사회의 정기적이고 독립적인 검토와 승인을 받는 공식 공개 정책을 갖추어야 한다.
12가지 운영위험 관리 원칙 중 몇 가지를 발췌하여 설명했는데, 다른 원칙들도 ICT를 포함한 위험 관리와 관련되어 이사회와 경영진의 역할과 책임의 구체적인 내용이나 절차를 명시하고 있다.
은행의 운영안정성을 위한 위험 관리 원칙인 2021 PSMOR의 12가지 원칙의 보안 거버넌스 관점에서의 시사점은 다음과 같다.
· 먼저, 조직의 의사결정을 위험 기반하여 수행하라는 것이다. 위험 평가를 형식적으로 수행하거나 다른 조직 내 프로세스와 단절하지 말고, 위험 평가 결과에 기반하여 위험 관리 조치를 선택하고 위험 관리를 수행하라는 것이다.
· 다음으로, 조직의 주인인 이사회가 대리인인 경영진이 수행하는 위험 관리 프로세스에 대해 충분하게 이해해야 하고, 이사회의 이해를 위해 필요한 내용을 경영진에 요구해야 한다. CISO는 정보보호 프로세스를 정보시스템의 분류 → 통제대책의 선택 → 통제대책의 구현 → 통제대책의 평가 → 정보시스템의 승인 → 통제 대책의 모니터 절차로 수행하고 있는데, 전체 프로세스가 위험 평가 결과에 근거해 수행돼야 한다.
· 위험 평가 결과에 기반해 적정 수단을 활용한 선제 대비할 수 있도록 해야 한다. 위협 발생시 신속 대응하는 방식에서 위협을 예방하거나 예상되는 위협에 사전대응할 수 있어야 한다.
· 위험 관리를 위한 다양한 수단이 종합적으로 도입되어야 한다. 위험의 경감을 위한 기술적인 조치 위주로 도입되어온 지금까지의 관행을 사이버보험을 통한 위험 전가 등 다양한 관리적인 조치들이 고려되어야 한다.
· 설명 가능한 정보보호 활동이 수행되어야 한다. 어떤 조처를 해야 하는 것 보다는 대상 조치가 왜 필요하고 도입시 어떤 효과가 있을 것인지가 합리적으로 설명되는 것이 더 중요하다는 것이다.
2021 PSMOR이 2024년부터 국내 은행에 적용될 예정인데, 은행에서의 모범사례가 전 산업에 확산되어 보안 거버넌스의 강화를 통한 조직의 운영안정성 확보의 계기가 될 것으로 기대된다.
[글_ 김태성 한국정보보호학회 보안거버넌스연구회장, 충북대학교 경영정보학과 교수/보안경제연구소장]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
