지난해 동양증권을 인수하면서 한국시장에 진출한 대만의 유안타증권은 동북아금융 중심지인 한국, 중국, 홍콩, 대만의 자금과 상품을 결합하고, 향후 싱가포르와 동남아 시장까지 진출해 아시아를 선도하는 증권사로 성장할 것을 목표로 하고 있다.
범중화권 네트워크와 풍부한 경험을 차별화된 경쟁력으로 내세우면서 국내외 금융시장에서 최적의 솔루션을 찾아 고객에게 특화된 투자상품과 다양한 투자기회를 제공한다.
국내 컴플라이언스 준수해 신뢰도 높여
유안타증권은 국내 고객의 투자수익을 높이면서 자산을 안정적으로 운용할 수 있는 다양한 금융상품을 개발하는 한편, 고객의 자산과 정보를 안전하게 보호할 수 있는 시스템을 지속적으로 구비하고 있다. 더불어 국내 컴플라이언스 요건을 철저하게 지켜 국내에서의 비즈니스 신뢰도를 높이도록 하고 있다. 특히 국내 금융권을 타깃으로 하는 보안사고가 급증하면서 정보보안 컴플라이언스에 대한 요구가 높아지고 있어 보안 투자를 꾸준히 늘려가고 있다.
국내 금융기관은 정보보호관리체계(ISMS) 인증 의무화가 적용됐으며, 유안타증권은 ISMS 인증을 완료하고 3월 인증서를 받았다. 유안타증권은 동양증권 시절인 2011년 ISO27001을 획득했으며, 이를 기반으로 ISMS 인증 심사를 준비했으며, 성공적으로 인증을 완료할 수 있었다.
서동일 유안타증권 정보보안팀장은 “ISMS가 ISO27001을 기반으로, 국내 정보보안 환경에 맞춘 규격을 정한 것인 만큼, ISO27001 인증 획득 경험을 바탕으로 ISMS 인증을 위한 준비를 수월하게 준비할 수 있었다”고 말했다.
ISO27001은 인증을 획득한 후에도 지속적인 유지관리를 통해 인증을 유지해야 한다. 이 때문에 평소 정보보안 체계를 잘 갖추고 유지해왔다면 ISMS 인증 획득이 유리하다. 유안타증권은 그 경험을 바탕으로, 전문기관의 도움 없이 자체 조직과 인력으로 ISMS 인증 절차를 수행했다.
자체 역량으로 ISMS 인증 수행해 전사 보안수준 높여
유안타증권은 자체 인력으로 ISMS 인증을 수행함으로써 각 조직의 보안의식이 크게 향상됐다고 평가한다. ISMS 관리항목에 대해 각 담당조직이 책임을 지고 규제를 만족시킬 수 있도록 개선했으며, 유안타증권의 비즈니스 특성에 맞게 적용했기 때문에 지속적인 규제준수 요건도 만족시킬 수 있었다.
서 팀장은 “ISMS에 지정된 각각의 관리항목에 대해 담당자가 정확하게 인지하고, 지속적인 준수 노력을 기울이도록 했기 때문에 전 직원의 보안역량을 강화하고, 업무에 대한 이해를 높이는 효과도 있었다”고 덧붙였다.
ISMS는 인증 획득 그 자체만으로 의미가 있는 것이 아니라 250여개 항목에 대한 지속적인 유지·관리 노력이 진행돼야 한다. 또한 연 1회 유지검사를 수행하고, 3년마다 갱신심사를 받아야 한다. 이 때 평소 정보보안 체계를 준수하기 위한 노력에 대한 증거를 남겨야 해 전사적인 보안인식 제고는 매우 중요한 역량이라고 할 수 있다.
ISMS 인증을 통해 정보보안 체계를 유지할 수 있는 시스템을 갖췄지만, 각 직원들이 자신이 수행해야 할 보안관리 업무를 수동으로 확인하기는 어려운 일이다. 증권사는 국내외 금융환경 변화에 따라 비즈니스가 빠르게 변하기 때문에 변화하는 환경에 맞는 정보보안 체계 유지가 어려운 경우가 발생할 수 있다. 이러한 문제를 해결하기 위해 유안타증권은 ISMS 요건을 상시적으로 준수할 수 있도록 자동화된 솔루션을 도입했다.
김계일 유안타증권 IT운영팀 과장은 “ISMS 인증 항목을 수작업으로 일일이 확인하는 것은 관리업무를 급증시키고, 실수로 누락하는 경우가 있기 때문에 자동화된 툴 도입이 필요했다. 상용화된 솔루션은 이미 공공기관과 대기업에 구축한 전문적인 경험이 쌓여있어 제품의 안정성에 대해서는 신뢰할 수 있을 것으로 기대했다”고 설명했다.
ISMS 솔루션 도입으로 보안 업무 효율화
유안타증권은 ISMS 솔루션을 도입할 때 ISMS 법률요건 뿐 아니라 대외기관 업무를 관리하는 다양한 부서의 요구사항도 만족할 수 있는지 살펴봤다. 특히 금융사의 특성상 금융감독규정에 정의된 보안 규제가 있어 이를 만족해야 했다. 800여개의 경영실태 평가 등 다양한 법률요건도 한번에 관리할 수 있는 패키지 솔루션이 필요했다.
서동일 팀장은 “ISMS뿐 아니라 전반적인 보안업무와 IT 운영업무, 금융감독기관의 각종 규제 등을 통합지원하는 제품을 통해 자동화된 보안관리체계를 만들고자 했다. 이를 통해 전사적인 보안수준을 높일 수 있다고 판단했다”고 말했다.
유안타증권은 ISMS 솔루션을 검토한 결과 유와이즈원의 ‘와이즈원 ISMS’가 가장 적합하다고 평가했다. 와이즈원 ISMS는 ISMS 솔루션 중 가장 먼저 출시됐으며, 공공·금융·대기업·서비스 기관 등 다양한 산업군에 공급돼 각 산업군마다 전문화된 경험을 축적하고 있다는 점이 좋은 평가를 받았다.
ISMS 인증 시 컨설팅만 수행한다면 인증 유지·관리를 위한 보안전문가가 별도로 필요하며, 컨설팅 수행 당시에만 한정된 단기적인 보안관리만을 보장할 수 있다. ISMS 솔루션은 ISMS 인증뿐 아니라 컨설팅도 함께 제공되며, 전문지식 없이 ISMS 인증 유지 요건을 만족시킬 수 있다.
와이즈원 ISMS는 보안증적 DB를 구축하며, 종이문서 증적은 전자문서로 변환시키며, 전자결재까지 한번에 진행할 수 있도록 한다. 자동 일정관리·알림·공지 기능으로 실시간 보안업무를 제공하며, 맞춤형 매뉴얼과 탬플릿으로 쉽고 정확하게 정보보호 업무를 진행할 수 있게 한다.
여러 규제 통합지원으로 ‘컴플라이언스’ 만족
와이즈원 ISMS 구축으로 유안타증권은 ISMS 요건뿐 아니라 다른 규제 준수도 한결 수월해졌다. 정보보안 관련 규제의 종류가 많고 복잡하며 각 법률에 따라 준수해야 하는 요건이나 수준에서 수많은 중복이 발생한다.
와이즈원 ISMS는 하나의 태스크만 처리하면 여러 법률요건의 증적처리도 수행할 수 있도록 하며, 해당 태스크는 관리팀에서 자유롭게 수정이 가능하기 때문에 규제가 변경됐을 때에도 유안타증권의 환경에 맞게 수정할 수 있다.
김계일 과장은 “증권사에서는 정보보안과 관련된 준수사항이 매우 많고 다양하다. 각각의 법률 요건에 맞게 증적자료를 관리해야 하며, 수시로 진행되는 감사에 대응하기 위한 시간도 상당한 부담이 된다. 와이즈원 ISMS는 태스크 관리가 체계적으로 진행될 수 있도록 하기 때문에 중복·누락업무가 없도록 도와주기 때문에 수시 감사에도 별도로 준비해야 하는 업무 없이 대응할 수 있도록 한다”고 말했다.
솔루션 구축으로 현업의 업무도 크게 줄일 수 있었다. ISMS 뿐 아니라 대외기관 업무보고 등 외부 기관과의 협업이 자주 발생하는데, 이러한 업무가 제대로 관리되지 않으면 업무에 누수가 생길 수 있다. 유안타증권은 와이즈원 ISMS에 이와 관련된 항목도 별도로 추가해 현업의 스케줄 관리 부담을 줄일 수 있도록 했다.
서 팀장은 “ISMS 솔루션 구축으로 인한 가장 큰 장점은 관리자가 모든 현황을 일목요연하게 볼 수 있다는 것이다. CISO 등 정보보안 총괄 책임자는 전사 조직이 컴플라이언스를 제대로 준수하고 있는지 확인하고 미흡한 부분에 대해 개선책을 마련할 수 있다”며 “ISMS 솔루션은 현업뿐 아니라 관리조직의 업무도 효율화 할 수 있다”고 설명했다.
“자사 환경 맞는 정보보안 체계 구축해야”
유안타증권은 정보보안 체계를 조직화하고 관리함으로써 고객 정보와 시스템을 안전하게 보호한데 이어 사기방지시스템(FDS) 구축으로 고객의 자산도 안전하게 보호하고 있다. 유안타증권은 자체 개발한 룰엔진을 기반으로 FDS 고도화 사업을 진행해 고객의 자산이 불법적으로 이동하지 않도록 하고 있다.
금융 서비스에서 발생하는 사기행위는 금융기관 내부에서 파악하는 것이 가장 좋은 방법이다. 금융상품의 종류와 성격, 각 고객의 거래행위 패턴 등에 대한 자료는 금융사 자체에 축적된 정보를 이용해 분석하는 것이 가장 정확하기 때문이다.
유안타증권은 그동안 금융서비스를 제공하면서 쌓은 정보와 초기 FDS 운영하면서 얻게된 경험을 바탕으로 차세대 FDS 사업을 진행했으며, 진화하는 지능형 사기로부터 고객의 자산을 안전하게 보호하기 위해 노력하고 있다.
서 팀장은 “정보보안 정책을 마련하고, 시스템을 구축할 때 외부의 전문 조직의 도움을 받는 것도 좋지만, 무엇보다 기업 내에서 자사 서비스와 고객의 정보·자산을 보호할 수 있는 최적의 방법을 연구하는 것이 중요하다. 자사 환경에 맞는 정보보안 체계를 구축하고 이를 운영하는데 도움을 줄 수 있는 솔루션을 도입하면서 꾸준히 고도화해야 한다”며 “유안타증권은 변화하는 보안 환경으로부터 고객과 자산을 보호할 수 있도록 지속적으로 노력할 것”이라고 말했다.
