[김국배기자] "금융회사의 IT 보안 거버넌스를 정립하고 확산시키는 데 주력하겠습니다."
지난 4월 금융보안연구원의 새 수장이 된 김영린 원장은 12일 서울 여의도에서 열린 기자간담회에서 금융보안연구원이 올해 목표로 삼는 역할을 이같이 정리했다.
보안 거버넌스란 보안 사고가 났을 경우 최고경영자(CEO)를 비롯한 이사회, 감사위원회, 최고보안책임자(CISO)가 공동으로 책임을 지는 구조를 말한다. 권한이 적은 일개 보안담당자가 아닌 최고 경영진으로 책임이 이동해야 함을 강조한 것이다.
그는 세월호 침몰 사고에 빗대어 "금융회사도 사고가 나면 이를 빨리 복원하고 대응하는 '사이버 회복력(cyber resilience)'이 중요하다"며 "금융보안연구원이 금융회사가 이같은 체계를 갖추도록 도울 것"이라고 말했다.
특히 그는 금융보안이 '규제하는 보안이 아니라 '보완하는 보안'이 돼야 한다고 언급했다. 보안이 금융회사의 IT 발전을 저해하는 요소로 작용해서는 안 된다는 뜻이다.
그는 "지나친 규제 일변도의 접근은 사물인터넷(IoT), 빅데이터 등의 접목을 통한 IT 발전을 막을 가능성이 생긴다"면서 "보안이 이를 견제하는 것이 아니라 지속적으로 발전시키는 시금석이 되도록 하겠다"고 설명했다.
금융보안연구원은 연말까지 금융결제원·코스콤 정보공유분석센터(ISAC)와 통합해 금융보안전담기구로 확대 개편하는 방안을 추진 중이다. 이에 따라 전담기구가 되면 보안성 심의와 침해 대응에 대한 역할도 강화할 예정이다.
그는 "그 동안 금융보안연구원은 법적 기구가 아니라 IT보안이 취약한 금융 회사가 있어도 보안성 심의를 진행하지 못하는 등 보안성 심의에 대한 구속력이 없어 아쉬운 부분이 있었다"며 "금융보안전담기구가 되면 나아질 것으로 기대한다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기