[보안뉴스]금융위 부위원장, “보안을 부차적 업무로 여기지 않았는지 반성해야”

내용 요약

금융권에서 CISO가 독립적으로 보안 업무를 수행할 수 있도록 보장하고, CEO가 보안 허점을 전수 점검·내부 관리체계를 마련하도록 요구하는 정부와 금융사 간의 인식 전환이 시급하다는 내용입니다.

핵심 포인트

• CISO의 독립성 확보: CEO와 금융기관이 보안 담당자에게 정치·경영 압력을 최소화해야 함.
• CEO 책임 강조: 최고경영자에게 보안 점검과 내부 통제 체계 마련을 의무화.
• 보안의 부차적 인식 개선: 보안을 귀찮은 부차 업무가 아니라 핵심 경영 활동으로 재인식해야 함.

기술 세부 내용

1️⃣ CISO(Chief Information Security Officer) 독립성 보장

• 역할 정의
  • CISO는 정보보호 정책 수립, 위험 평가, 대응 계획 실행을 담당합니다.
  • 독립성을 보장받으면, 경영진이 보안 이슈를 신속히 승인·조정하지 않도록 방지합니다.
• 실행 방안
  • 직급 체계: CISO가 최고 정보 보안 위원회(Information Security Board)에 직접 보고하도록 설정.
  • 예산 자율성: 보안 예산을 CISO가 자체 할당하고, 비용 승인 절차를 최소화.
  • 공식 문서화: 금융위원회가 “CISO 독립성 가이드라인”을 공표하고, 금융회사는 이를 이행 보고.

2️⃣ CEO가 이끄는 내부 보안 관리체계 구축

• 내부 통제 구조
  • 보안 위원회: CEO가 회장으로 참여하며 보안 정책 승인, 리스크 우선순위 지정.
  • 정기 점검 프로세스: 전사 보안 점검(Annual Security Audit)과 정기적인 취약점 스캐닝(Weekly Vulnerability Scan).
  • 리스크 매트릭스: ISO 27001/PCI‑DSS 기준에 따른 위험 수준(High/Medium/Low)을 분류하고 대응책을 명시.
• 프로세스 통합
  • 사고 대응(Incident Response): CEO가 승인한 사고 대응 계획(IRP)에 따라 보안팀이 즉시 대응, 사후 복구 절차를 마련.
  • 교육·의식 프로그램: 전 직원 대상 보안 인식 교육(Quarterly), CEO가 직접 참여해 모범을 보임.
• 성과 측정
  • KPI로 보안 이벤트 감소율과 점검 완료율을 설정하고, CEO가 분기별 결과를 검토·보고.

이 두 기술은 금융권이 ‘보안 부차 업무’에서 벗어나 ‘전략적 경영 요소’로 전환하도록 돕습니다. CISO 독립성은 신속하고 전문적인 보안 의사결정을 가능하게 하고, CEO가 주도하는 내부 관리체계는 조직 전체의 보안 태세를 체계화합니다.

 

출처: http://www.boannews.com/media/view.asp?idx=139421&kind=&sub_kind=