금융보안원(원장 허창언)은 ‘금융회사 경영자를 위한 정보보안 경영가이드’를 발간했다고 2일 밝혔다. 이 가이드는 자율보안 체계 도입과 함께 정보보안에서의 경영진 역할이 매우 중요해짐에 따라 최고경영자의 인식변화와 정보보안 이해 증진을 통해 적극적인 업무 수행을 지원할 목적으로 제정됐다.

2015년 알리안츠 그룹의 사이버 리스크 대응 가이드에 따르면 사이버 범죄가 세계 경제에 미치는 손실 규모가 매년 약 4450억 달러에 이르며, 뉴욕증권거래소 상장기업 임원 200여명을 대상으로 한 설문조사 결과에 의하면 대형 침해사고 발생에 따른 책임은 CEO, CIO, 전체경영진, CISO, 이사회의 순으로 크다고 인식하고 있었다.

일본 경제산업성(METI)에서는 지난해 12월 ‘사이버 보안 경영 가이드라인’을 발표하며 경영진의 역할을 강조했고, 미국 등 주요 7개국(G7)에서도 지난 10월 ‘금융업계의 사이버보안을 위한 기본요소’를 발표하면서 거버넌스 체계 확립의 중요성 등을 강조한 바 있다.

한편 정보보안 사고가 발생할 경우 사고처리 비용 등으로 인한 경제적 손실뿐만 아니라, 평판․법률리스크 등의 문제가 지속경영을 저해하는 경영리스크의 증가로 까지 이어질 수 있다. 금융분야 보안사고는 개인정보 유출 또는 금전적 손실 우려 등으로 상대적으로 더 큰 사회적 파장으로 이어질 가능성이 있다.

반면 정보보안 투자의 성격상 직접적인 수익창출로 연결되기 어려워 경영진의 관심과 적극적인 리더십이 더욱 필요하다는 의견이 있다. 금융보안원은 금융 보안에 대한 경영진의 인식 제고를 위해 이번 가이드를 발표했다.

정보보안 경영 원칙·CISO에게 지시해야 할 사항 중심으로 구성

이 가이드는 ▲정보보안 경영 3대 원칙 ▲CISO에게 지시해야 하는 10대 핵심사항’으로 구성돼 있다. ‘3대 원칙’에서는 전사적 경영리스크 측면에서 최고경영자가 리더십을 가지고 정보보안 업무를 추진할 것을 강조하고, ‘10대 핵심사항’에서는 이를 위해 금융회사 최고경영자가 CISO에게 구체적으로 지시해야할 핵심 업무를 제시하고 있다.

허창언 금융보안원장은 “자율보안 체계의 성공적 안착을 위해서는 금융회사 최고경영진의 근본적인 인식 변화와 정보보안에 대한 적극적인‘지시(direct)’의 역할이 중요하다”며 “이 가이드를 계기로 최고경영자는 적극적인 정보보안 리더십을 발휘하고, 임직원들은 각자의 정보보안 역할을 충실히 이행하는 금융보안 거버넌스 체계가 확립되기를 기대한다”고 밝혔다.

가이드에서 제시하는 정보보안 경영 3대 원칙은 다음과 같다.

- 정보보안 문제는 전사적 경영리스크의 일부분이다.

- 정보보안의 최종 책임자는 최고경영자를 포함한 경영진이다.

- 정보보안에 있어서 최고경영자의 역할은 리더십을 갖고 적극적으로 지시하는 것이다.

CISO에게 지시해야 하는 10대 핵심사항은 다음과 같다.

- 정보보안 문제를 전사적 경영리스크 관점에서 보고할 것

- 정보보안 전략을 수립하고, 추진 실적을 경영진 회의에서 보고할 것

- 정보보호위원회에서 비즈니스 부서들과의 이해관계를 조율할 것

- 계열사, 협력업체를 포함한 전사적 보안대책을 수립·시행할 것

- 회사에 적정한 정보보안 투자 및 인력양성 계획을 수립할 것

- 정보보안 리스크를 철저히 조사하여, 대응 계획을 수립할 것

- 임직원들의 정보보안 법규 준수 현황을 정기적으로 점검할 것

- 임직원 보안인식을 제고하고, 정보보안 문화를 형성할 것

- 침해사고 예방·대응·복구 체계를 수립하고 관련 훈련을 정기적으로 실시할 것

- 대외 전문기관과 정보공유 및 협력체계를 구축할 것