최근 국내 금융IT 사고가 빈번해지고 있다. 인터넷뱅킹이 수시로 다운되는 시스템 사고부터 데이터센터가 물에 잠겨 전산시스템이 모두 마비되는 사건까지 다양하다. 문제는 재해복구시스템이 제대로 가동되지 않는다는 것이다. 이는 리스크 관리가 제대로 되고 있지 않다는 뜻이기도 하다. 이 때문에 금융감독원에서는 금융권 재해복구시스템 점검을 시행했다. 재해복구시스템의 중요성이 날로 증가하고 있어, C미디어그룹 ‘비지트’에서는 지난달 9일 ‘금융CIO를 위한 차세대 재해복구시스템을 통한 IT투자 효율화 방안’이라는 주제로 금융CIO 조찬회를 개최했다. 류호성 hs_ryu@biziton.com “금융기업의 리스크 관리는 비즈니스와 연관해 계획하고 실행해야 한다.” 스캇램지(Scott Ramsey) IBM 컨설턴트는 금융기업의 리스크 관리 방향에 대해 이렇게 말했다. 리스크 문제를 기술적으로 해결하려고 하지 말고, 비즈니스와 연관해 어떤 점이 문제인지 먼저 파악해 실행하는 것이 중요하다는 것이다. 리스크, 전체적인 관점 필요 그는 수많은 리스크 중 기업 운영에 대한 리스크에 많은 금융기업들이 관심을 갖는다고 설명했다. 이유는 비즈니스와 연관되어 있기 때문이다. 그러나 많은 기업들이 리스크에 대해 좌우를 살피지 않고 앞만 보는 경우가 있다고 지적했다. 스캇램지는 “리스크 발견을 항상 프로그램에서 찾다보니 기술적으로 보안을 접근하게 된다”며 “비즈니스와 관련된 보안에 대해서는 고민하지 않은 채 기술적으로만 해결하려고 하니, 비즈니스에는 보안 취약성이 그대로 남아 있는 것”이라고 말했다. 그는 또 많은 기업들이 심각한 재난과 재해에 초점을 맞추고 있지만, 그것은 발생할 확률이 적다고 말했다. 스캇램지는 “많은 기업들이 전쟁과 건물파괴, 지진, 홍수 등 재난과 재해를 걱정하는 것에 대해 이해한다”며 “그러나 금융기업들의 사고 발생빈도를 보면 비즈니스에 영향을 주는 사건사고가 더 많이 발생한다”고 말했다. 즉, 심각한 재해와 재난 리스크 관심보다 비즈니스와 관련된 리스크에 관심을 가져야 한다는 뜻이다. 이 때문에 리스크는 전체적인 관점에서 바라볼 수 있어야 한다고 강조했다. 리스크가 발생하면 기술 인프라는 괜찮은지, 비즈니스와 관련해 어떤 문제를 일으킬 수 있는지, 기업에 어떤 파장이 올 것인지 전체 그림을 그릴 수 있어야 한다는 것이다. 또 이런 전체적인 시각에서 리스크 관리를 출발해야 한다고 강조했다. 그는 “종합적인 관점이 필요하기 때문에 리스크 관리는 경영진에서 이뤄져야 한다”며 “리스크를 어디까지 허용하고, 어떻게 관리할 것인지에 대한 것은 기업 경영진에서 내려야 하기 때문이다”라고 말했다. 사실 리스크에 대한 100% 보안 전략을 마련하는 것은 무리다. 이 때문에 그도 탄력적으로 리스크 관리를 해야 한다고 말했다. 스캇램지는 리스크 관리를 크게 3단계로 구분했다. 먼저, 기업전략과 목표를 파악한 뒤 시스템과 비즈니스를 고려해 종합적인 계획을 세우고 두 번째로는 바로 실행해야 한다는 것이다. 실행을 하기 위해서는 거버넌스 체계도 필요하다고 말한다. 의사결정에 있어서 거버넌스가 잘 구축된 곳이 실행이 수월하기 때문이다. 그 다음이 실행한 사항들을 관리하는 것이다. 계획과 실행, 관리 이 3박자가 잘 이뤄져야 리스크 대처가 수월하다고 스캇램지는 말했다. REB 방법론 제시 이후 조범준 한국IBM 실장이 ‘효과적인 IT리스크 관리’라는 주제로 발표를 이어갔다. 조범준 실장은 “현재는 인터넷과 모바일 등으로 금융기업들은 24시간 운영을 하고 있다”며 “이는 IT 관리적인 차원에서 상당히 도전적인 문제”라고 말했다. 또 그는 “급변하는 비즈니스 환경은 필연적으로 IT의존도를 증가시키며, 비즈니스 연속성을 확보하기 위해서는 IT리스크 관리 단계에서 통합적인 리스크 관리체계가 필요하다”고 말했다. 이로 인해 현재 운영 중인 재해복구시스템의 전반적인 설계 검토가 필요하고, 재해복구 체계의 유지관리를 위해 거버넌스 체계 구축이 필요하다고 설명했다. 또한 그는 IT 리스크관리는 재해상황 위주의 관리와 규정준수 관리체계, 운영 단위요소 장애로 구분하고 극단적인 재해위주의 리스크관리보다 규정준수를 포함한 통합된 IT 운영리스크 관리체계로 전환이 필요하다고 지적했다. 이를 위해 조 실장은 IBM의 REB(Resilient Enterprise Blueprint)방법론을 제시했다. REB방법론은 IT환경변화에 대응하는 생애주기 개념의 방법이다. 조 실장은 “IBM은 REB방법론을 통해 비즈니스의 연속성 목표에 부합하는 리스크 관리와 대응방안 계획 수립을 지원한다”고 말했다.