모든 프로세스는 글로벌 방침의 강력한 거버넌스가 바탕

한국씨티은행은 지난 2004년 한미은행과 통합돼 탄생됐다. 약 200여 년의 역사와 160여 개 국가에서 2억 명의 고객에게 세계적인 영업 기반을 바탕으로 다양한 상품과 노하우를 전국 221개 지점에서 금융 서비스를 제공하고 있다. 특히 국제회계기준이나 자본시장 통합법 등 규제에 대응할 수 있는 IT 프로젝트를 진행하려는 움직임과 은행 IT 분야에서 민영화와 인수합병이 큰 변수로 작용하면서 시장구조 개편에 대한 대응 역시 한국씨티은행의 과제다. 또한 정보보호 및 리스크 관리 측면이 사회 전반적 이슈로 떠오름에 따라 엄격한 리스크 감독 및 확인 절차를 수행 중이다. 전산 분야에 있어 씨티은행은 ‘IT리스크관리위원회’를 운영한다. 특히 취약한 리스크 관리체계와 비효과적인 내부통제, 직원들의 윤리 관념 부족 등으로 문제가 일어나지 않도록 하기 위해 강력한 거버넌스 조직을 갖추고 있다. 씨티은행은 프로그램 변경과 데이터센터의 장비?설비???교체, 특히 인터넷과 모바일 기기를 포함한 애플리케이션 적용, 해킹방지 장비 교체, 접근 제한 관리 방식 변경 과정 등에서 문제가 발생할 수 있다는 점에 주안점을 두고 있다. 한국씨티은행의 최고정보책임자(CIO)인 서지오 아라네다(Sergio Araneda) 전산본부장을 만나 한국씨티은행의 현재 위치와 향후 IT 비즈니스 주안점에 대해 들어봤다.

이지혜 기자 jh_lee@ciomediagroup.com

메가 뱅크, 시스템·인프라 통합 작업 피할 수 없어

▲은행권에서 국제회계기준(IFRS)이나 자본시장통합법 등 규제에 대응할 수 있는 IT 프로젝트를 진행하려는 움직임이 일고 있다. 이에 대해 어떻게 생각하는가? 국제기준은 정부나 규제 당국보다 글로벌이나 지역(region) 차원에서 운영되는 기업들에게 오히려 더 필요하다. 특히 국제회계기준(IFRS, International Financial Reporting Standards)은 일련의 요구 조건을 설정함으로써 금융 회계 및 업무 처리 방법을 평준화시켜 금융 상태 및 리스크 노출에 대한 보다 투명한 이해가 가능해진다. 일반회계원칙(GAAP, Generally Accepted Accounting Principles)에서 IFRS로의 전환은 복잡하고 비용소요 역시 상당하기 때문에 적어도 세 개의 금융 보고 시스템을 병행 및 유지해야 한다. 이에 해당되는 것이 국가별 GAAP과 미국의 GAAP, IFRS다. 하지만 특정 국가의 GAAP는 시효가 한정돼 전체 업무와 그에 대한 이해가 간편해지고 있으며, 자본시장 통합법은 국제기준이라기보다 서로 다른 금융기관들이 현지 자본시장에서 활동할 수 있도록 하기 위한 한국의 특정한 사안이라고 생각한다.

▲은행 IT 분야에서 민영화와 인수합병이 큰 변수로 작용할 전망이다. 이러한 시장구조 개편 변화에 대해 어떻게 생각하는가? 시장에 전반적인 영향을 주는 것은 물론 IT 분야에 특정적으로 미치는 여파도 존재할 것이다. 일례로 민영화와 최근 추진된 두 메이저 은행의 인수합병은 ‘메가 뱅크’ 현상을 낳았다. 이러한 현상을 보면 앞으로 상품, 서비스, 고객 전략 등에 관해 경영 합리화가 착수될 것이며 인수합병이 끝나고 약 6개월이 지난 후부터 영향을 목격할 수 있을 것이다. 전산 분야 역시 시너지 효과와 비용절감을 동반한 기업 전체 효율성을 증진시키기 위해서는 시스템과 인프라 통합이 불가피하다. 전체 관점에서 봤을 때 ‘메가 뱅크’는 개인 고객부터 대기업까지 고객 전체의 스펙트럼을 아우를 수 있는 상품 및 서비스를 제공하기 위함이다. 따라서 중소 은행들의 경우 메가 뱅크보다 한 발 앞서 혁신적인 서비스로 고객 유치 및 유지에 더 많은 노력을 기울여야 할 것으로 예상된다.

차세대·ISO 표준 핵심 부문 인증 취득

▲24시간 365일 무중단 서비스보다 안정적 서비스를 하는 게 더 나은 것이라는 입장도 존재한다. 이에 대한 의견은? 한국씨티은행은 다소 늦었지만 지난 5년간 단계적 접근 방식으로 ‘코어 뱅킹(Core Banking) 차세대 시스템’을 재구축했다. 이 방식은 고객 서비스 부문과 주요 서비스를 몇 개의 그룹 단위로 묶어 애플리케이션 시스템을 재구축하는 것이다. 지난 5월 12일부터 13일까지, 주말에 걸쳐 과거 한미은행 시절부터 사용해오던 코어 뱅킹 시스템을 재구축 한 것이다. ‘다운사이징(downsizing)’이나 ‘업사이징(upsizing)’과 같은 표현들은 우리에게 별 의미가 없다. 주된 목표는 차세대 시스템이 보안, 재해 대처 능력 및 복구에 관한 씨티은행 내부 규정을 준수하면서 비즈니스의 요구사항을 충족시키는 데에 뒀다. 안정성과 24시간 서비스는 서로 상충하는 것으로만 볼 수 없으며 현대 금융 서비스에서는 이 두 가지 요소가 맞물려야 한다.

▲글로벌 은행의 경우 다양한 상품과 노하우를 보유하고 있어 앞서고 있다고 볼 수 있다. IT 측면에서 씨티은행이 앞서가고 있다고 자부할 수 있는 점은? 요즘은 누구나 다양한 IT 솔루션을 사용할 수 있는 세상이다. 중요한 것은 어떻게 실현되고 관리하느냐에 있다. 씨티은행은 IT 비즈니스 요구를 항상 충족시킬 수 있도록 경영진을 포함한 직원들이 준수해야 할 절차가 존재한다. 예를 들어 자금을 지원하는 하나 이상의 비즈니스 스폰서가 없다면 그 어떠한 프로젝트도 시작될 수 없다. 스폰서는 프로젝트 상태 및 이슈에 관해 정기적으로 업데이트를 받게 된다. 또 다른 하나는 품질과 표준에 관련된 부분인데, 이와 관련해 한국씨티은행은 세 가지 ISO 표준을 핵심 부문에서 인증을 취득하기도 했다. 첫 번째는 ‘ISO 27001’로 직원들의 일상 업무 및 절차, IT 시스템을 관리하는 정보 보안 관리 시스템과 관련한 국제 모범 운영 표준이다. 두 번째인 ‘ISO 20000’은 IT 조직의 서비스 관리 절차가 비즈니스의 요구를 충족하는 동시에 국제 모범 운영 기준에 부합하도록 하는 국제 IT 서비스 관리 표준이다. 세 번째인 ‘ISO 9001’은 품질관리 원칙 및 절차인데, 이 영역의 국제 모범 절차와 방법론을 선정한다. 또한 정보 보안에 관한 FSS(금융감독원) 지침과 PIPA(개인정보보호법)가 발효됨으로써 한국은 적잖은 비용을 치르겠지만, 전 세계에서 가장 안전한 국가가 될 것이다. 개인 대 금융기관 간 상호 작용 방식도 불가피한 변화가 생길 것이다. 특히 통제 및 인증과정을 추가하게 되면 고객들 사이에서 불만이 제기될 수 있다. 새 규제 및 지침이 매우 광범위하기 때문에 시스템 애플리케이션 및 절차상 대대적인 수정과 변경사항이 발생하겠지만 씨티은행은 내부적으로 비슷한 사항을 고려해 이미 몇몇 요건들을 충족시키고 있다.

엄격한 리스크 감독·확인 절차 거버넌스 갖춰

▲은행을 비롯한 금융권 트렌드는 ‘고객 중심 서비스’다. CIO와 IT가 이 같은 트렌드에 맞추기 위해 어떻게 대응해야 하나? CIO는 서비스 절차 개선 방안을 찾아야 하며 IT 직원들이 이 절차를 잘 지키고 있는지 확인할 책임을 갖고 있다. 방금 말한 ‘ISO 2000’과 ’ISO 9001’이 바로 이러한 서비스 절차가 효과적인지 측정할 수 있는 독립적인 툴이다. 뿐만 아니라 CIO는 고객 불만에 귀를 기울임과 동시에 인터넷이나 모바일 기기 등을 이용한 양방향 통신의 다양한 서비스를 개발함으로써 고객서비스 요구를 맞춰야 한다. 또한 최근 금융 위기들을 통해 대부분의 선진국 금융기관들이 문제를 갖고 있다는 점이 드러났다. 얼마 전 금융위기의 여파를 피한 미국의 한 메가 뱅크가 리스크 관리 실패로 엄청난 손실을 입은 적도 있다. 하지만 상대적으로 잘 유지되고 있는 곳이 남미와 아시아 지역인 것을 감안하면 금융 규제 당국이 극단주의로 각종 새로운 규제와 지침을 통해 은행 운영 방식을 재편할 수 있을 것이라는 생각은 금물이다. 전산 분야에서는 일상 업무 중 잠재 위험을 초래할 수 있는 가능성을 찾아내고 이러한 위험을 최소화할 수 있도록 거버넌스 조직을 갖춰야 한다. 그리고 위험은 시스템을 변경할 때 주로 발생하는 만큼 프로그램의 변경과 데이터 센터의 장비 및 설비 변경이나 교체는 신중하게 진행해야 한다. 특히 인터넷과 스마트폰을 포함한 어플리케이션 적용, 해킹 방지 장비 교체, 규제나 법률 시행에 따른 변경, 접근제한 관리 방식 변경 등은 더욱 주의해야 한다.

▲국내 은행과 비교할 때 씨티은행이 정보보호 및 리스크 관리 측면에서 차별점이나 강점이 있다면 무엇인가? 씨티은행의 리스크 감독 및 확인 절차는 엄격하며 금융 리스크뿐만 아니라 모든 일상 업무까지 규제 및 법률, 품질 표준, 정보 보호 등을 지키고 있는지 관리한다. 전산 분야에 있어서는 업무와 관련한 모든 리스크를 관리하기 위해 ‘IT리스크관리위원회(IT Risk Council)’를 운영 중이며 이 위원회에서는 업무 절차에서 파악된 모든 리스크 관리 쟁점들을 검토하고 기준에 맞도록 시정한다. 애플리케이션 및 인터넷 인프라에 취약성 평가를 실시해 이를 통해 외부 업체나 내부 직원이 작성한 보안 표준에 미흡한 코드의 리스크를 줄일 수 있다. 또 기존 애플리케이션의 주요 변경 사항이나 새 애플리케이션의 아키텍처를 검토하며, 소프트웨어 개발 라이프사이클 절차 준수 및 정보 보안 상황을 체크한다. 한편 고객 정보를 관리하는 벤더 상태 점검 및 재해 복구 훈련에서 확인된 이슈들 등을 검토한다. 이에 따라 위원장은 보고서를 통해 매 분기별로 IT 리스크 상황에 대한 전체적인 평가 결과를 CIO에게 보고해야 한다. CIO는 IT 리스크 평가 및 다른 부문 평가 결과를 종합해 CEO에게 보고한다.

▲IT 관련 향후 계획은? 한국씨티은행은 새 규정을 준수하기 위한 모든 작업들이 끝나면 지점과 고객들의 서비스를 직접 제공하는 접점(Front-End) 시스템 작업에 주력할 예정이다. 이와 관련해 이미 ‘Rainbow-K’라는 명칭의 프로젝트를 진행하고 있다. ‘Rainbow-K’는 한국에 최첨단 통합 솔루션을 적용해 씨티은행 직원들은 물론 고객들에게 최상의 서비스를 지속적으로 제공하기 위한 것이다.

서지오 아라네다(Sergio Araneda)

서지오 아라네다는 2006년부터 한국씨티은행 CIO로 근무하고 있다. 이에 앞서 1988년 한국씨티은행 CIO를 역임한 바 있어 이번이 두 번째다. 현 직책은 전산본부장이며 신용카드, 소비자 금융, 기업 금융의 애플리케이션 개발 및 전산 인프라 부문의 총책임을 맡고 있다. 아시아, 유럽, 남미 등 여러 나라에서 전산 분야 경력을 쌓았으며, 지난 1985년 칠레씨티은행에 입성했다. 칠레대학교(Universidad de Chile) 컴퓨터공학과(학사)를 최우수로 졸업했으며, 세인트메리대학교(Universidad de Santa Maria)에서 경영학 석사 학위를 취득했다. 2006~현재 Citibank Korea CIO 2002~2006 Citibank-CIB Tech Latam Regional Tech (Chile) 1999~2002 Citibank-Iberia CIO (Madrid) 1996~1999 Citibank-CEEMEA Technology Office (Dubai) 1994~1996 Citibank-Asia Technology Office (Singapore) 1988~1994 Citibank-Korea CIO 1985~1998 Citibank-Chile: Consumer Bank Technology Head 1976~1984 Banco de Santiago-Chile IT Development Manager