[금융보안원] 금융보안 거버넌스 가이드 개정 (2023.03.06)

금융보안원이 발표한

○ 자료명 : (금융보안원) 금융보안 거버넌스 가이드

○ 발행일 : 2023년 3월

금융 IT 환경의 변화 및 국내·외 금융 보안 사고가 지속적으로 발생하고 있는 상황 속, 금융 보안 위험에 대한 효과적인 관리가 필요

○ 금융 전산망 마비 사고 및 카드사 고객정보 유출 사고 등에서 접했듯이, 보안이 전제되지 않고서는 그 어떤 편의성과 효율성도 담보할 수 없음

○ 보안 사고가 발생하는 경우 집단 소송으로 인한 금전적 피해와 고객 이탈, 평판 실추, 대외 신뢰도 하락 등 무형의 피해도 발생

○ 보안 사고 발생 시 신속한 복원력(Resilience) 향상을 위한 전사적 정보보호 거버넌스 구축도 요구됨

○ 다만 국내 금융권의 보안 수준은 전자금융거래법, 전자금융 감독규정 등에 대한 최소한의 법규 준수 활동에 머물렀으며, 그 이상의 수준을 향상하기 위한 노력이 다소 부족한 것이 현실

거버넌스(Governance)는 통상적으로 정부가 주도하는 통치(Goverment)가 아닌 다양한 이해관계자들의 파트너십에 의한 협치(協治)를 의미한다. 다만 사용되는 분야에 따라 조금씩 다른 의미를 내포한다.

거버넌스
- 경영학
  - 주주, 종업원, 거래 기업, 지역사회 등 회사 관련 이해관계자들의 이해를 조정하여 의사결정, 결정된 사항의 집행 및 감시 감독
- 행정학
  - 정보의 의사결정 과정에 모든 민간 이해 당사자들이 참여하는 새로운 국가 통치 및 관리 방식

금융보안 거버넌스란 금융권의 업무 특성을 반영한 정보보호 거버넌스를 의미, 정보보호 거버넌스 개념은 현재 국제표준(ISO 27014)에서 규정한다.

정보보호 거버넌스
- 정보보호에 대한 최고경영층의 의사결정 권한과 책임, 비즈니스와의 전략적 연계, 컴플라이언스 보장을 위해 지켜야 할 원칙과 수행해야 할 활동 및 과제를 정의한 문서다.

정보보호 거버넌스란 조직 전반에 걸친 정보보호 목표를 달성하기 위한 전략 및 정책을 통한 지시와 모니터링을 통한 통제 활동을 수행하기 위해서 "이사회와 최고경영층(CEO)의 역할 및 책임"으로 정의한다.

금융회사의 전사적 금융보안을 위해 최고경영층과 실무조직, 현업조직 간의 상호 협력을 통한 적극적인 정보보호 활동이 이뤄져야 한다.
적절한 역할 정의를 통해 책임을 분배하고 권한을 부여하여 해당 역할에 충실히 수행할 수 있게 해야 한다.
- 이러한 정보보호 거버넌스가 궁극적으로 추구하는 목표는 다음 아래와 같다.
- 첫째, 정보보호의 목표를 조직의 목표와 전략적으로 연계해야 한다.
- 둘째, 최고경영층과 정보보호 관련 이해관계자들에게 정보보호의 비즈니스 가치를 전달한다.
- 셋째, 정보보호 관련 위험이 조직 내 적절한 수준으로 관리되고 있으며 정보자산에 대한 책임 추적성을 보장한다.
금융권에 정보보호 거버넌스가 구축되면 가질 수 있는 기대 효과는 다음과 같다.
- 금융회사의 정보보호 효과성 확보로 정보보호 인력 및 예산 등에 대한 자발적인 보안 투자 유도를 할 수 있다.
- 중복과 불필요한 보안 프로세스 통합으로 정보보호 업무 효율성을 개선한다.
- 전사적으로 정보보호 거버넌스를 문화로 인식하여 업무 수행시 자연스럽게 정보보호 활동을 위해 노력할 수 있다.
- 비즈니스 연속성 확보를 통한 투자자와 이해관계자 등의 신뢰를 확보할 수 있다.

※ 더 자세한 내용은 금융보안원에서 발간한 가이드를 확인하시기를 바랍니다.