2024.06.03 (월)
지속적 보안 유지관리
업계 한목소리 낼 수 있는 도구 필요
이지혜 팀장 jh_lee@ciociso.com
금융권 보안 관계자들은 지난 3·20사태와 관련해 보안 솔루션을 도입하는 것에서 끝나는 것이 아닌 관리의 중요성을 지목하고 있다.
기존 도입했던 솔루션들을 꾸준히 운영 관리함과 더불어 그에 대한 문제점을 개선하는 데 초점을 맞춰야 한다는 것이다. 이는 기존 도입했던 솔루션들에 대해 충실하는 한편 관리에 대한 두 배 이상의 각고의 노력을 기울여야 한다는 의견으로 풀이된다.
또한 이번 사태로 금융권 내부의 최고정보보호책임자(CISO)의 역할이 더욱 강조될 것으로 전망되면서 향후 어떠한 관점에서라도 CIO와 CISO를 겸직하는 체제는 분리 변화돼야 한다는 입장이 강하다.
이를 위해서는 보안을 관리하는 인력과 절차, 시스템이 한데 맞물려 적절히 대응할 수 있어야 한다는 전략이다.
특히 감독기관들의 일률적인 법안 정책 제공이나, 현실성에 뒷받침된 법령 제안, 각종 TFT를 통한 금융권 CISO들이 한데 공유할 수 있는 정책을 기반으로 법안 준수 활동이 이뤄져야 함은 물론이다.
국내 금융업계 관계자들은 국내 보안 현황에 대해 기본적인 IT인프라 보안에 중점을 두고 업무기능을 올린 것이 아니라, 사용자 요구에 맞게 최대한 신속하게 사용할 수 있는 시스템을 개발하면서 생겨온 고질적인 문제점이 터지고 있다고 입을 모은다.
이는 안정적이고 튼튼한 업무처리를 우선으로 하는 외국 금융사업의 특징에 반해, 국내는 고객활용에 초점을 맞추며 웹과 디바이스의 수용과, 지점과 지점간의 연계 고도화 및 잔 기능들이 많다는 것으로 풀이된다.
이렇게 때문에 보안 솔루션들을 비롯해 관리 당국, 기업 보안 책임자들 역시 선행적인 보안 대응보다는 후행적 보안대응이 주가 되고 있다고 실토한다.
또한 기업 정보보안의 범위가 어디까지인가를 정하는 것조차 아직 미흡한 실정이다. 보안은 IT뿐 아니라 관리/물리적 영역도 포함된다.
하지만 최근 CIO들이 CISO를 겸직하면서 단순히 전산담당 임원이 IT보안 담당자로서의 역할이 맞는 것인지에 대한 회의감 역시 치솟고 있는 것이다.
겸직을 하고 있는 CISO들 역시 기업 규모나 환경에 맞춰 대다수 CIO들이 CISO를 겸직하고 있지만 이는 ‘눈 가리고 아웅’이라는 의견에 동조하는 분위기다.
이를 해결하기 위해서는 정책 당국이나 유관기관들의 협력이 필요하며 업계가 공동으로 대응해야 할 부분에 대해서도 한 목소리를 내야 할 것으로 예상되고 있다.
이에 따라 금융감독원, 금융위원회, 협회 중 한곳이 주체가 돼야 하며, 과거 금융보안연구원, 금융 아이삭, 금융보안연구원 등이 그때마다의 이슈로 산발적으로 생겨난데 대해서도 아쉬움을 나타냈다.
결국 이들 기관들이 요구하는 사항을 준수하기 위한 활동으로 보안 비용은 비용대로 늘어날 뿐, 보안 체계 및 관련법들에 대한 정비는 더욱 어려워졌다고 꼬집는다.
기업 내C레벨들의 보안 투자와 이슈에 대한 지속적인 관심과 더불어 법 유관기관들의 한목소리 내기가 절실하다는 입장이다.