Top
검색버튼 메뉴버튼

DBR Column

한 손에 디지털 혁신이면, 다른 한 손엔 사이버 보안

김영기 | 253호 (2018년 7월 Issue 2)
4차 산업혁명을 주창한 클라우스 슈바프는 2025년이 되면 1조 개의 센서가 인터넷에 연결되고, 인구의 80%가 디지털 세상에서 정체성을 가지며, 인공지능이 기업 감사의 30%를 수행하는 등 ‘파괴의 시대’가 도래할 것이라고 주장했다. 결국 새로운 가치는 결국 데이터(정보)와 네트워크(연결)로 창출된다는 것이다. 그는 동시에 이러한 시대에 요구되는 필수 가치 중 하나가 보안과 프라이버시라고 강조했다.

그의 우려대로 사이버 공격으로 공공기관이나 기업들이 정보를 탈취당해 피해 입은 사례가 점점 늘어나는 추세다. 랜섬웨어 유포나 디도스 공격, 국가 간 지급결제망을 해킹해 약 900억 원을 불법 이체한 방글라데시 국영은행 해킹사건 등이 대표적인 예다. 최근에는 가상화폐거래소를 해킹하거나 광범위하게 불법 수집한 아이디와 비밀번호를 이용해 75만 번이나 은행 인터넷뱅킹에 대한 해킹을 시도한 사건도 발생했다. 디지털화가 빠르게 진행되면서 해킹 공격 집단의 활동 무대도 확장되고 있다.

조직화된 공격그룹은 고도의 해킹 능력으로 표적을 집요하게 공격한다. 자동화된 공격 도구가 불법 경로로 손쉽게 거래되면서 취약점을 가진 기업을 무차별적으로 검색해 공격하기도 한다. 보안대응 수준이 높은 기업을 해킹하기 위해 보안성이 취약한 협력업체나 상용 소프트웨어를 해킹한 후 이를 통해 우회적으로 공격하는 사례도 발견된다. 사이버 공격에는 국경이 없으며 공격자가 누구인지 알기 어려울 뿐 아니라 공격 대상도 특정돼 있지 않다. 보안 담당자들은 24시간, 365일 보이지 않는 적과 싸우고 있는 셈이다.

세계적으로 사이버 공격이 일반화되면서 이러한 위험에 기업들이 선제적으로 대비할 필요성은 더 커졌다. 금융회사를 비롯한 기업 최고경영자가 준수해야 할 정보 보안 경영 3원칙의 주요 내용을 소개한다.

첫째, 최고경영자는 정보 보안을 내부 통제 체계 및 리스크 관리 대상에 포함해 전사적 경영 리스크의 하나로 관리해야 한다. 정보 보안 문제로 기업 경영에 유발될 수 있는 다양한 리스크(재무, 평판, 법률, 운영 등)를 계열사와 협력업체를 포함해 평가하고 점검하며 대응 방안을 마련하는 것이 포함된다. 삼정KPMG 감사위원회 지원센터(ACI)의 2016년 보고서(감사위원회 저널 5호)에 따르면 우리나라 코스피 200대 기업들의 감사위원회 안건 1892건 중 ‘사이버보안 리스크’를 안건으로 다룬 기업은 단 한 곳도 없어 글로벌 기업과 크게 비교되는 실정이다.

둘째, 정보 보안의 최종 책임자는 최고경영자를 포함한 경영진이라는 것을 인식할 필요가 있다. 최고경영자는 정보보호책임자(CISO)와 보안조직에 정보 보안 역할을 위임할 때 충분한 권한을 부여해야 한다. 동시에 전문인력 양성을 포함한 보안 강화를 위한 투자에도 관심을 기울여야 한다. 모든 부서가 참여하는 정보 보안 회의체를 구성해 이해관계를 조율하고 적절한 심의・의결이 이뤄지는 조직을 구성하는 방안도 생각해볼 수 있다.

셋째, 정보 보안에 있어 최고경영자의 리더십이 매우 중요하다. 최고경영자는 수동적인 승인자 역할에서 벗어나 적극적으로 지시하고 사이버 보안 대응 수준을 점검해야 하며 임직원의 보안인식을 제고하는 등 실질적인 정보 보안 문화를 형성하는 노력을 기울여야 한다.

미래로 나아가는 신기술들은 우리에게 혁명적인 융합과 편리함을 가져다주지만 한편으로는 사이버 공격의 통로나 수단을 확대한다. 그만큼 기업 활동의 리스크를 줄이기 위한 정보기술(IT) 부문의 기능은 더욱 중요해질 것이다. 보안에 대한 투자는 비용이 아닌 생존을 위한 불가피한 요소라는 점을 분명하게 인식하고 균형감을 갖고 4차 산업혁명의 물결을 헤쳐 나가는 지혜와 용기가 필요하다.

12



필자소개 김영기 금융보안원 원장
필자는 영남대를 졸업하고 성균관대에서 재무관리 전공으로 경영학 석사 및 박사 학위를 받았다. 한국은행을 거쳐 금융감독원에서 검사지원국 신용리스크반장, 저축은행감독국 부국장, 상호여전감독국장, 감독총괄국장, 감독총괄 담당 부원장보 및 은행 담당 부원장보를 역임했다. 2018년 4월부터 금융권을 위한 금융보안 서비스 전문기관인 금융보안원의 제3대 원장으로 재직 중이다.
관련기사