정체된 정보보호는 싫다
 

일정한 투자비용도, 충분한 인력도 없는 상황에서 ‘맨손’으로 정보보호를 하는 곳이 있는가 하면, 비교적 풍족한 비용과 인력을 바탕으로 정보보호를 수행하는 곳도 있다. 금융기관이나 대기업 혹은 특수 제조업체는 후자에 속하는 경우로, 일반적으로 강력한 정보보호가 이뤄지는 곳으로도 알려져 있다. 하지만 한편으로 후자 중에서도 정보보호 수준이 몇 년 전과 비교해 변하지 않고 정체된 곳도 상당수 있다. 이런 문제의 원인은 정보보호에 대한 장기적인 계획과 관리, 그리고 기업 내 구성원 전체의 노력이 부족하기 때문. 이와는 대조적으로 동원증권의 정보보호가 생명력을 갖고 끊임없이 살아 움직이는 이유는 바로 이런 계획과 관리, 그리고 노력이 성숙해있기 때문이다.

 
요즘 대부분의 사람들은 작은 종자돈이라도 이용해 투자라는 걸 하고, 은행이나 증권사, 혹은 투자사는 고객자산을 활용해 투자수익을 극대화시키는데 주력한다. 그런 의미에서 고객과의 거래를 활용해 수익을 극대화시키는 것이 금융기관의 역할이라면, 고객자산을 보호하고 지키는 것은 이들의 의무라고 볼 수 있다. 하지만 IT 환경이 발전하면서 기업이 고객자산을 보호하는 방법에서도 큰 변화를 보이고 있고, 특히 인터넷뱅킹이나 사이버트레이딩의 등장은 사용자들에게 편리함을 주었지만, 반대로 금융기관에게는 보안과 관련해 더 많은 업무와 의무를 안겨주고 있는 실정이다.

이들에겐 ‘또 다른 무엇’이 있다

“고객의 금융자산을 다루는 곳은 모두 마찬가지겠지만, 규모가 적다할지라도 금융기관이라면 당연히 고객자산을 관리하고 보호하는 총체적인 시스템을 갖춰야겠죠.” 전자거래와 고객자산을 보호하는 동원증권 시스템 지원부 김종대 차장의 얘기다.
 
어떤 산업군보다 높은 수준을 자랑하지만 다양해지는 거래매체 등으로 금융기관의 정보보호는 항상 위험에 대비하고 고민해야 하는 상황이다. 때문에 금융기관의 보안은 ‘완벽’이라는 말보다도 ‘최선’이라는 말이 오히려 어울리는 곳이기도 하다. 그런 의미에서 동원증권은 정보보호에 대해 완벽을 추구하기보다는 실질적인 솔루션과 관리체계 시스템, 그리고 구성원들의 노력을 통해 발생 가능한 수많은 위험에 대비하는 ‘준비’라는 것을 한다.
 
하지만 사후대처보다 훨씬 어려운 것이 사전예방이라는 점에서 이들 시스템 지원부가 해야 할 일은 훨씬 더 많아지는 것은 어쩌면 당연하다. “기업이, 특히 금융기관이 실제로 자신에게 발생하든 그렇지 않든, 위험요소를 분석하고 이를 줄여나가겠다고 하는 것과 그 반대의 경우는 분명 하늘과 땅 차이라고 봐요. 물론 항상 준비하고 대비하는 것이 어려운 문제지만, 이것이 기업의 경영철학과 맞물려 있다면 가능한 문제라고 생각합니다.” 김 차장은 말한다.

정보보호, 한다면 한다

경영철학에 보안영역이 있을 만큼 정보보호에 대해 전폭적인 지원을 받는 동원증권이기에 보안을 담당하는 시스템 지원부 또한 다른 기업 보안팀이 갖지 못한 노하우를 갖고 있다.
 
“아시겠지만 열 개, 백 개의 자물쇠로 걸어뒀다고 해서 안심할 수 없듯, 정보보호라고 해서 무조건 보안 솔루션을 도입한다고, 혹은 정보보호 정책을 적용한다고 끝나는 문제는 아니라고 봐요. 어떤 곳에 어떻게 보안을 적용하느냐가 핵심이죠.”
 
다른 보안조직이 갖지 못한 노하우를 이들이 가질 수 있는 배경에는 솔루션 도입뿐만 아니라, 이를 활용할 수 있는 관리가 있다는 사실은 두말할 나위가 없다. 이런 모습은 얼마 전 증권사로서는 드물게 DRM 솔루션을 도입한 부분에서도 드러난다.
 
“전자정보를 보호하기 위해서는 조직 전반의 업무 프로세스를 이해하고, 어느 곳에 어떻게 보안을 적용해야 하는지가 굉장히 중요한 문제가 됩니다. 업무의 효율성과 보안성을 서로 극대화시킬 수 있는 방안을 찾는 거죠.”
 
이런 과정을 모든 솔루션에 적용시키다 보니, 이들에게는 ‘정보보호는 업무의 효율성을 저하시킨다’는 좋은(?) 핑계가 통하지 않는다. “물론 쉽지 않은 과정이지만 이렇게 할 수 있는 배경에는 역시 정보보호에 대한 전사적 차원의 의지를 빼놓을 수 없을 것 같아요. 저희 회사가 ‘한다면 한다’는 분위기가 있거든요”라며 웃는 김 차장이지만, 그렇게 되기까지는 바로 이들 시스템 지원부의 부단한 노력이 있었다는 사실을 어렵지 않게 짐작할 수 있다.

“BS7799 획득, 고생 좀 했죠”

정보보호에 대한 이들 동원증권의 노력은 지난 3월 정보보호관리체계인증 BS7799 획득으로도 나타났다. 일부 은행기관을 중심으로 획득이 이어지고 있지만, 국내 증권사로는 처음으로 관리체계인증 획득에 도전해 성공한 셈이다.
 
“정작 정보를 다루는 본인이 정보를 유출하겠다면 그것을 막을 확률은 매우 낮다고 봅니다. 교육 등을 통한 마인드 제고가 이뤄져야 하는 이유가 여기 있죠. 하지만 그렇다고 해서 절차적인 측면이 간과되어서는 안 됩니다. 업무에 보안요소가 적용된 관리체계인증을 획득한 것도 이와 같은 맥락입니다”라며 김 자창은 BS7799를 획득하게 된 배경을 설명한다.
 
하지만 ‘사이버트레이딩 시스템에 대한 정보보호 경영 시스템 범위설정’, ‘정보자산 식별 및 가치산정 위험분석’, ‘위험조치계획 수립’을 바탕으로 이뤄진 것이기에 업계 최초의 관리체계 인증획득이 결코 쉬운 과정으로만 이뤄진 것은 아니었다. 특히, 지난 2002년 정보보호 컨설팅을 시작으로 관리체계인증을 준비해 왔다는 점을 감안해 보면, 이들이 인증획득을 위해 투자한 시간만도 2년에 가까운 기간이 소요된 셈이다.
 
“일부에서는 인증심사 3개월 전부터 준비한다는 데, 그건 말도 안 되더라고요. 먼저 전체조직에서 보안에 대한 인식이 필요하고, 관리체계가 생활에 녹아들어가야 해요. 특히, 127개 보안항목을 어떻게 적용시키느냐가 상당히 어려웠던 것 같아요.”
 
때문에 김 차장은 전체적인 밑그림을 그리는데 많은 시간을 할애했다고 한다. “관리체계인증은 획득하기도 어렵지만 유지하는 건 더 어려운 일인 것 같아요. 그래서 앞으로 좀 더 고생(?)해야겠지만, 그 덕분에 정보보호의 생활화를 위한 프로세스는 확실히 정립되고 있는 것 같아요”라고 김 차장은 관리체계인증 획득으로 인한 장점이 크다고 덧붙인다.

프로세스 정착화, 금융보안의 새 이슈

동원증권처럼 이들이 프로세스를 강조하는 배경에는 낱개의 금융정보가 모여 주요정보가 되는 금융기관의 특성을 감안한 것으로, 업무 프로세스에 보안이 녹아있지 않다면 금융 정보보호는 무의미하다는 이들만의 철학이 있기 때문이다.
 
“제조업체, 가령 반도체 분야 기업의 경우 반도체 설계도 하나만으로도 수십 수백억원이라는 가치가 있잖아요. 그런데 금융정보는 달라요. 단순한 정보 하나하나가 모여야만 주요 정보가 되기 때문에 그 작은 것 하나하나라도 소홀히 다뤄선 안 되죠. 그래서 내부직원의 정서적인 요소도 중요하고, 또 관리체계 상에서 유지해야 할 절차도 반드시 지켜져야 합니다”라고 김 차장은 정형화된 룰과 업무의 프로세스가 적절하게 조화를 이루는 보안 프로세스가 반드시 필요하다고 강조한다.
 
“현재 금융권 정보보호에서 새롭게 떠오르고 있는 이슈도 바로 이점이라는 생각이 듭니다. 즉, 프로세스의 정착화, 그리고 생활화가 필요하다는 거죠. 예전처럼 정보보호 솔루션을 설치하고 단순히 관리하는 것이 이슈가 되던 시기는 이제 지났다고 봐야 합니다.”
 
물론 이들이 이렇게 주장하는 근거에는 정보보호 솔루션을 관리하고 운영하는 것이 너무 쉬워졌다고, 그래서 이제 필요 없다고 말하는 것은 물론 아니다. 기반시설로 지정돼 금융감독원에 제출하는 보고서와 전문업체들의 모의해킹 서비스를 받는 것으로 기술적인 측면이 상당부분 해소되고 있고, 또 아웃소싱 등을 통해 해결될 수 있기 때문이다. 그렇기에 각 기업의 보안부서는 단순한 기술적인 접근보다 정보보호에 대한 새로운 접근을 시도해야 한다고 김 차장은 강조한다.
 
“하지만 아직도 국내에서는 프로세스보다 결론, 결과에 집착하는 경향이 많은 것 같아요. 하지만 단지 결과만을 생각하기 때문에 문제가 발생하고, 또 사고가 생겨나고 있는 거라고 생각해요”라며 현재 많은 기업들이 외형에 치중할 뿐, 내적인 역량이 부족하다고 김 차장은 아쉬워한다.

보안 솔루션 ROI, 증명해 보일 것
 

"분명 생산성과 밀접한 관계를 맺고 있는 것이 정보보호이고, 그러기 위해서는 각 기업이 정보보호와 관련된 리소스를 꾸준히 관리해 기록을 남기는 작업이 우선되어야 한다고 봐요." 동원증권 시스템 지원부 김대종 차장은 정보보호에 투자된 투자금의 ROI를 반드시 증명해 보일 것이라고 강조한다.

정보보호 시스템을 운영하고, 정보보호의 밑그림을 그리고, 정보보호를 위한 관리체계인증을 획득하고, 또 이 관리체계를 유지하기 위한 노력이 펼쳐지고 있는 동원이지만, 최근에는 또 다른 재미에 빠져있단다.
 
정보보호 시스템이나 관리의 투자이익율(ROI)을 분석하는 일이 그것. “아직 관련기관이나 타 기업의 경우, 정보보호에 대한 투자와 이에 대한 투자 이익률을 명확하게 제시하는 곳은 없는 것 같아요. 하지만 모든 투자부문에 대해 ROI를 산출하듯, 정보보호 역시 투자대비 효과를 분석하는 것은 필요합니다.”
 
물론 정보보호가 당위적인 요소가 있지만, 단지 당위적 측면만 강조해서는 효과가 없어 실질적으로 수치화된 자료가 필요하다고 그는 주장한다. “일부에서는 보안이 생산성에 기여를 하지 못하는 것으로만 알려져 있지만, 그 배경에는 금융권이 정보보호와 관련된 리소스를 제대로 관리하지 못했기 때문이라는 생각이 듭니다. 그래서 저희는 우선 정보보호와 관련된 기초 데이터를 조사해나가고 있어요. 이를 통해 궁극적으로 정보보호 투자와 효과도 산출될 것 같네요.”
 
김 차장은 아직 완성되지는 않았지만 정보보호와 투자의 일반적인 고정관념을 바꿔줄 무엇인가를 준비하고 있다고 살짝 귀띔해준다. “금융권에서는 리스크 관리라는 이름으로 등장하는 바젤Ⅱ가 정보보호와 정확하게 일치되는 것은 아니라도 밀접한 상관관계를 맺고 있다고 봐요. 이렇게 본다면 금융기관의 정보보호는 곧 국제 경쟁력이 되는 시대가 올거예요. 아니, 벌써 와 있는지도 모르죠”라며 그 상황에서도 동원증권의 정보보호는 경쟁력을 가질 수 있을 것이라고 김 차장은 말한다.
[정보보호21Cⓒ (is21@infothe.com)]

 <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>